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前 言 


Windows Server 2008 操作 系统 最 突出 的 改进 就 是 安全 性 的 提升 。 从 理论 角度 
对 系统 安全 进行 定义 ，Windows Server 2008 系统 安全 概述 、Windows Server 2008 
用 户 环境 安全 设置 、 修 补 系统 漏洞 、 活 动 目录 安全 、 用 户 帐 户 安全 、 组 策略 安全 、 
数据 存储 安全 、 文 件 访问 安全 、 服 务 器 信息 备份 与 还 原 、 电 子 证 书 和 认证 服务 、 
系统 服务 安全 、 端 口 安全 、 审核 策略 与 事件 日 志 、Internet 信息 服务 安全 、Windows 
防火 墙 、Windows 网 络 访问 保护 和 SQL Server 数据 库 安全 ,针对 系统 中 涉及 的 安 
全 问题 ， 有 目的 和 针对 性 地 给 出 了 相应 的 解决 方案 ， 最 大 限度 地 介绍 了 系统 中 所 
有 有 关 安 全 的 因素 以 及 局 域 网 的 安全 管理 体系 。 


本 书 从 Windows Server 2008 提供 的 基础 服务 入 手 ， 完 全 以 Windows 操作 
系统 安全 的 实际 应 用 为 基础 , 阐述 了 操作 系统 安全 配置 和 管理 在 网 络 安全 中 起 
到 的 决定 性 作用 ， 使 读者 能 够 全 面 提升 网 络 的 安全 水 平 ， 迅 速成 长 为 合格 的 安 
全 管理 员 。 

本 书 共 分 18 章 ， 从 Windows Server 2008 安装 到 每 种 服务 器 的 安装 和 配置 ， 
全 面 阐述 了 系统 安全 在 实际 应 用 中 的 部 署 方 法 。 

第 1 章 Windows Server 2008 系统 安全 概述 : 介绍 系统 安全 的 定义 以 及 系统 

可 能 遇 到 的 威胁 。 


第 2 章 Windows Server 2008 用 户 环境 安全 设置 : 介绍 如 何 安装 并 设置 一 个 
安全 的 操作 系统 。 


第 3 章 修补 系统 漏洞 : 介绍 漏洞 的 定义 以 及 漏洞 扫描 、 预 警 和 修补 等 。 

第 4 章 活动 目录 安全 : 介绍 Active Directory 相关 安全 措施 。 

第 S 章 用 户 帐 户 安全 : 介绍 如 何 安全 地 设置 帐户 。 

第 6 章 组 策略 安全 : 介绍 使 用 组 策略 发 布 安全 策略 。 

第 7 章 数据 存储 安全 :讲解 如 何 保护 系统 中 磁盘 的 安全 以 及 磁盘 的 备份 和 还 原 。 
第 8 章 文件 访问 安全 : 讲解 如 何 保护 系统 中 的 文件 以 及 数据 的 安全 共享 设置 。 


第 9 章 服务 器 信息 备份 与 还 原 : 介绍 服务 器 角色 、 注 册 表 、 网 络 配置 和 磁盘 配 
额 的 备份 与 还 原 。 


第 10 章 电子 证 书 和 认证 服务 : 介绍 电子 证 书 和 认证 服务 的 基本 知识 ， 及 其 
安装 、 备 份 和 管理 应 用 。 


第 卫 章 系统 服务 安全 : 介绍 了 合理 配置 系统 服务 ,保持 计算 机 的 安全 性 。 


第 12 章 端口 安全 : 介绍 了 常用 端口 的 安全 配置 ， 开启、 禁用 以 及 扫描 等 。 

第 13 章 审核 策略 与 事件 日 志 : 介绍 审核 、 事 件 和 日 志 概述 ， 及 相关 的 安全 
设置 。 

第 14 章 Internet 信息 服务 安全 : 介绍 了 基于 IIS 组 件 的 Web 服务 器 、FTP 服 
务 器 以 及 站 点 的 安全 配置 。 

第 15 章 Windows 防火 墙 : 介绍 了 使 用 Windows 防火 墙 保护 系统 安全 的 设置 。 

第 16 章 Windows 网 络 访问 保护 :介绍 了 服务 器 操作 系统 访问 网 络 的 安全 设置 。 

第 17 章 SQL Server 数据 库 安全 : 介绍 了 数据 库 的 安全 设置 以 及 数据 库 的 备 
份 与 恢复 。 

第 18 章 Windows Server 2008 系统 安全 新 技术 : 介绍 系统 新 增 安全 功能 、 
升级 的 安全 特性 以 及 应 用 服务 器 角色 安全 新 特性 。 


本 书 由 刘 晓 辉 、 李 利 军 编著 ， 李 书 满 、 吴 琪 菊 、 余 素芬 、 吴 海燕 、 赵 敏捷、 
费 一 峰 、 毛 向 城 、 朱 志明 、 朱 春 英 、 彭 文 芳 、 陈 飞 、 傅 维 佳 、 张 建 、 李 海宁 、 陈 
志 成 、 田 俊 乐 、 刘 国 增 、 王 延 杰 、 刘 红 等 也 参与 了 本 书 部 分 章节 的 编写 工作 。 虽 
然 作 者 在 写作 过 程 中 已 经 高 度 注意 到 书 中 相关 细节 问题 ， 但 朴 漏 和 不 足 之 处 丽 难 
避免 ， 敬 请 广大 读者 批评 指正 。 
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Windows Server 2008 系统 
安全 概述 


Windows Server 2008 是 微软 公司 暴力 推出 的 一 个 服务 器 操作 系统 ， 它 代 
表 了 下 一 代 Windows Server。Windows Server 2008 在 虚拟 化 工作 负载 、 支 持 
应 用 程序 和 保护 网 络 方面 向 组 织 提供 最 高 效 的 平台 。 从 工作 组 到 数据 中 心 ， 从 
强大 的 网 络 功能 到 系统 安全 性 ，Windows Server 2008 都 提供 了 令 人 兴奋 且 很 
有 价值 的 新 功能 ， 对 基本 操作 系统 做 出 了 重大 的 改进 。 该 服务 器 系统 安全 工作 
涉及 范围 宽广 ,如 系统 内 核 安 全 、 应 用 程序 安全 、 用 户 帐户 安全 和 端口 安全 等 
多 个 方面 。 根 据 服务 器 所 处 环境 的 不 同 ，Windows Server 2008 系统 支持 管理 
员 启 用 不 同 的 安全 防护 策略 。 


本 章 导读 


Windows Server 2008 的 版 本 及 新 特性 
Windows Server 2008 的 硬件 需求 及 安装 方式 
Windows Server 2008 的 初始 配置 

Windows Server 2008 系统 安全 


Ag 
属 Windows Server 2008 系统 安全 管理 实战 指南 


1.1 Windows Server 2008 概述 


使 用 Windows Server 2008, 可 使 IT 专业 人 员 对 其 服务 器 和 网 络 基础 结构 的 控制 能 力 更 强 ， 
从 而 可 重点 关注 关键 业务 需求 。 通 过 加 快 IT 系统 的 部 署 与 维护 、 使 服务 器 和 应 用 程序 的 合并 
与 虚拟 化 更 加 简单 ，Windows Server 2008 为 IT 专业 人 员 提 供 了 更 大 的 灵活 性 ， 而 且 其 通过 加 
强 操作 系统 和 保护 网 络 环境 提高 了 安全 性 。 因 此 ，Windows Server 2008 为 任何 组 织 的 服务 器 
和 网 络 基础 结构 葛 定 了 最 好 的 基础 。 


1.1.1 Windows Server 2008 的 版 本 


Microsoft 公司 先后 发 布 了 多 个 版 本 的 Windows Server 2008， 用 于 满足 各 种 规模 企业 网 络 
对 服务 器 操作 系统 需求 。 其 中 ， 比 较 常 用 的 版 本 有 6 个 , 另外 还 有 3 个 不 支持 Windows Server 
HyperV 技术 的 版 本 。 


1. Windows Server 2008 Standard 


Windows Server 2008 Standard 内 置 的 强化 Web 和 虚拟 化 功能 ， 是 专 为 增加 服务 器 基础 架 
构 的 可 靠 性 和 弹性 而 设计 ， 亦 可 节省 时 间 及 降低 成 本 。 利用 其 强大 的 功能 ， 让 用 户 可 以 更 好 地 
控制 服务 器 , 同时 大 大 简化 了 配置 和 管理 任务 ; 而 先进 的 安全 性 和 可 靠 性 , 可 以 强化 操作 系统 ， 
确保 网 络 访问 的 安全 。 


2. Windows Server 2008 Enterprise 


Windows Server 2008 Enterprise 可 提供 企业 级 的 平台 ， 部 署 企业 关键 应 用 。 其 所 具备 的 群 
集 和 热 添加 (Hot-Add) 处 理 器 功能 ， 可 以 增强 可 用 性 ， 而 整合 的 身份 管理 功能 ， 可 以 改善 安 
全 性 , 利用 虚拟 化 授权 权限 整合 应 用 程序 ， 则 可 以 减少 基础 架构 的 成 本 ， 因 此 Windows Server 
2008 Enterprise 可 以 为 高 度 动态 、 可 扩充 的 IT 基础 架构 ， 提 供 良 好 的 基础 。 

3. Windows Server 2008 Datacenter 

Windows Server 2008 Datacenter 所 提供 的 企业 级 平台 , 可 在 小 型 和 大 型 服务 器 上 部 署 具 企 
业 关键 应 用 及 大 规模 的 虚拟 化 。 其 所 具备 的 群集 和 动态 硬件 分 割 功 能 ， 可 改善 可 用 性 ， 而 通过 
无 限制 的 虚拟 化 许可 授权 来 巩固 应 用 ， 可 减少 基础 架构 的 成 本 。 此 外 ， 此 版 本 可 以 同时 支持 
x86 和 x64 的 处 理 器 ， 因 此 Windows Server 2008 Datacenter 可 以 提供 良好 的 基础 ， 用 于 建立 企 
业 级 虚拟 化 和 扩充 解决 方案 。 

4. Windows Web Server 2008 

Windows Web Server 2008 是 特别 为 单一 用 途 Web 服务 器 而 设计 的 系统 ， 整 合 了 重新 设计 
架构 的 IS 7.0、ASPNET 和 Microsoft NET Framework， 以 便 满 足 任何 企业 快速 部 署 网 页 、 网 、 


第 1 章 Windows Server 2008 系统 安全 概述 | 


Web 应 用 程序 和 Web 服务 的 需求 。 


5. Windows Server 2008 for ltanium-Based Systems 


Windows Server 2008 for Itanium-Based Systems 已 针对 大 型 数据 库 、 各 种 企业 和 自 订 应 
程序 进行 优化 ， 可 提供 高 可 用 性 和 高 可 扩充 性 ， 能 符合 高 要 求 且 具 关 键 性 的 解决 方案 的 需求 。 
6. Windows HPC Server 2008 


Windows HPC Server 2008 具备 的 高 效能 运算 (HPC) 特性 ， 提 供 企业 级 的 工具 ， 建 立 高 
生产 力 的 HPC 环境。 由 于 其 建立 于 Windows Server 2008 及 64 位 技术 上 ， 因 此 ， 可 有 效 地 扩 
充 至 数 以 千 计 的 处 理 核心 , 并 可 提供 管理 控制 台 , 协助 管理 员 主 动 监督 和 维护 系统 健康 状况 及 
稳定 性 。 其 所 具备 的 工作 排 程 之 互 操作 性 和 弹性 ， 可 让 Windows 和 Linux 的 HPC 平台 间 进 行 
整合 ， 也 可 支持 批 次 作业 以 及 服务 导向 架构 (SOA) 工作 负载 ， 而 增强 的 生产 力 、 可 扩充 的 
效能 以 及 使 用 容易 等 特色 ,可 使 Windows HPC Server 2008 成 为 同 级 中 最 佳 的 Windows 环境 。 


三 


1.1.2 Windows Server 2008 的 新 特性 


Windows Server 2008 相对 于 其 他 版 本 的 Windows 服务 器 系统 ， 增 加 了 许多 新 特性 ， 对 硬 
件 支持 能 力 更 强 , 可 以 为 用 户 提供 更 高 的 安全 性 和 更 加 稳定 的 运行 平台 。Windows Server 2008 
中 的 新 特性 ， 主 要 表现 在 以 下 几 个 方面 : 


1.1IS 7.0 


Windows Server 2008 操作 系统 绑 定 了 IIS 7.0， 这 也 是 Windows Server 2008 中 的 大 规模 改 
进 之 一 ， 相 对 于 IIS 6.0 而 言 ， 是 最 具 飞 跃 性 的 升级 产品 ， 通 过 委派 管理 、 增 强 的 安全 性 和 缩 
小 的 攻击 面 、Web 服务 的 集成 应 用 程序 以 及 改进 的 管理 工具 等 关键 功能 ， 提 高 了 安全 性 和 管 
理性 。 例 如 ，Web 站 点 的 管理 权限 更 加 细 化 ， 可 以 将 各 种 操作 权限 委派 给 指定 管理 员 ， 极 大 
的 优化 了 网 络 管理 ， 大 大 节省 了 管理 员 的 时 间 。 

2. 核心 服务 器 


Windows Server 2008 提供 了 Server Core 功能 ， 和 Linux 操作 系统 一 样 ， 只 提供 基本 的 服 
务 器 功能 。 

Server Core 是 Server 2008 的 最 小 版 本 , 这 是 一 个 不 包含 服务 器 图 形 用 户 界面 的 操作 系统 ， 
提高 了 稳定 性 ， 只 安装 必要 的 服务 和 应 用 程序 ， 提 供 DHCP、DNS 等 基础 网 络 服务 。 与 完整 
版 本 的 系统 相 比 ,由 于 服务 器 上 安装 和 运行 的 程序 和 组 件 较 少 , 暴露 在 网 络 上 的 攻击 面 也 较 少 ， 
因此 更 安全 ， 也 可 减少 维护 和 管理 的 时 间 。 


3. 网 络 访问 保护 (NAP) 


网 络 访问 保护 (NAP) 可 人 允许 网 络 管理 员 自 定义 网 络 要 求 ， 并 限制 不 符合 这 些 要 求 的 计 
算 机 访问 网 络 。NAP 强制 执行 管理 员 定义 的 正常 运行 策略 ， 这 些 策略 包括 连接 网 络 的 计算 机 
的 软件 要 求 、 安 全 更 新 要 求 和 所 需 的 配置 设置 等 内 容 。Windows Vista SP1，Windows XP SP3 
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都 包含 来 自 Server 2008 的 NAP， 由 此 可 见 它 的 重要 性 。 

NAP 强制 实现 方法 支持 四 种 网 络 访问 技术 ， 与 NAP 结合 使 用 来 强制 实现 正常 运行 策略 ， 
包括 :Intemet 协议 安全 (IPsec ) 强 制 .802.1X 强制 .用 于 路 由 和 远程 访问 的 虚拟 专用 网 络 (VPN) 
强制 以 及 动态 主机 配置 协议 (DHCP) 强制 。 


4. 只 读 域 控制 器 (RODC) 


这 是 Windows Server 2008 操作 系统 提供 的 一 种 新 类 型 的 域 控制 器 ， 可 以 在 域 控制 器 安全 
性 无 法 保证 的 位 置 轻松 部 署 域 控制 器 ， 降 低 了 在 无 法 保证 物理 安全 的 远程 位 置 ( 如 分 支 机 构 ) 
中 部 署 域 控制 器 的 风险 。 RODC 维护 Active Directory 目录 服务 数据 库 的 只 读 副 本 ， 通 过 将 该 
数据 库 副本 放置 在 更 接近 分 支 机 构 的 地 方 , 使 用 户 可 以 更 快 地 登录 , 即使 处 于 没有 足够 物理 安 
全 性 来 部 署 传统 域 控制 器 的 环境 , 也 能 更 有 效 地 访问 网 络 上 的 身份 验证 资源 , 在 提高 了 可 靠 性 
和 安全 性 的 同时 还 减少 了 流量 消耗 。 

5. 虚拟 服务 器 


通常 情况 下 , 多 数 服务 器 85% 的 CPU 机 时 都 是 处 于 闲置 状态 的 , 为 了 尽量 减少 资源 浪费 ， 
充分 发 挥 服务 器 性 能 ，Windows Server 2008 系统 中 引进 了 虚拟 化 技术 。 通 过 Windows Server 
2008 内 置 的 服务 器 虚拟 技术 ， 可 以 在 单个 服务 器 上 虚拟 Windows、Linux 等 多 个 操作 系统 ， 并 
与 现 有 环境 互 操 作 。 利 用 更 加 简单 、 灵 活 的 授权 策略 ， 可 以 更 容易 地 利用 虚拟 化 的 各 种 优势 。 
用 户 利用 虚拟 化 技术 就 像 所 有 应 用 程序 都 运行 在 自己 电脑 上 一 样 ,可 以 明显 节省 成 本 和 提高 硬 
件 使 用 率 ， 同 时 可 以 优化 基础 结构 并 提高 服务 器 可 用 性 。 


6. 全 新 的 命令 行 工具 


PowerShell 原 计 划 作 为 Windows Vista 的 一 部 分 ， 但 只 是 免费 下 载 的 增强 附件 ， 随 后 又 成 
了 Exchange Server 2007 的 关键 组 件 ， 接 下 来 又 是 Windows Server 2008 不 可 或 缺 的 一 个 成 员 。 
这 个 新 的 命令 行 工具 可 以 作为 图 形 界面 管理 的 补充 ， 也 可 以 彻底 取代 它 。 


7. BitLocker 驱动 器 加 密 


BitLocker 驱动 器 加 密 是 Windows Server 2008 中 一 个 重要 的 新 功能 ， 可 保护 服务 器 、 工 作 
站 和 移动 计算 机 。BitLocker 可 对 磁盘 驱动 器 的 内 容 加 密 ， 防 止 未 经 授权 的 使 用 者 绕 过 文件 和 
系统 保护 ， 或 者 对 存储 在 受 保护 驱动 器 上 的 文件 进行 脱 机 查看 。 


8. 自修 复 NTFS 文件 系统 


在 Windows Server 2008 中 ， 将 有 一 个 新 增 的 系统 服务 在 后 台 检测 文件 系统 的 错误 ， se 
在 服务 器 运行 状态 下 进行 直接 修复 。 如 果 检 测 服务 正在 修复 损坏 的 磁盘 结构 , 服务 器 只 会 暂 
无 法 访问 部 分 数据 ， 在 修复 结束 后 即 可 重新 访问 。 系 统 是 永远 不 会 关闭 的 ， i 
CHKDSK (全 称 check disk， 即 磁盘 检查 ) 检测 磁盘 。 


9. 并 行 会 话 的 创建 


在 Windows Server 2008 之 前 的 操作 系统 中 ， 默 认 是 以 串 行 方式 创建 会 话 的 。 也 就 是 说 ， 
当 多 个 用 户 同时 登录 终端 系统 时 会 造成 系统 的 瓶颈 ， 造 成 用 户 排队 等 待 会 话 的 初始 化 。 在 
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Windows Vista 及 Windows Server 2008 中 的 新 会 话 模块 ， 至少 可 以 同时 初始 化 4 个 会 话 ， 如 果 
有 4 块 以 上 的 会 话 模块 ， 还 可 以 增加 更 多 。Windows Vista 下 的 Media Center 就 是 一 个 很 好 的 
例子 ， 如 果 在 多 个 不 同 的 房间 同时 启动 Media Center 就 会 发 现 ， 速 度 要 比 Windows XP 下 的 
Media Center 更 流畅 。 


10. 快速 关机 服务 


在 其 他 版 本 的 Windows 系统 中 ， 关 机 速度 都 比较 缓慢 。 在 Windows XP 中 ， 一 旦 关机 开 
始 后 系统 就 会 启动 一 个 20 秒 的 计数 器 ， 超 时 后 会 询问 用 户 是 否 结束 应 用 程序 。 在 服务 器 系统 
中 , 该 计数 器 是 应 用 程序 的 生命 之 钟 。 而 在 Windows Server 2008 下 ， 这 20 秒 的 倒计时 被 一 个 
专门 的 服务 取代 了 , 该 服务 会 向 需要 关闭 的 程序 不 间断 的 送 达 关机 信号 , 直至 程序 回应 自己 确 
实 已 退出 为 止 。 

11. 内 核 事 务 管理 器 


这 对 开发 人 员 们 而 言 尤 为 重要 ， 即 使 无 法 完全 排出 ， 也 能 在 最 大 程度 上 减少 多 个 线程 访问 同一 
系统 资源 〈 注 册 表 、 文 件 系统 等 ) 时 的 死 锁 问题 。 以 数据 库 系统 为 例 ， 交 互 指令 都 会 按 次 序 插入 内 
存 队列 ， 并 最 终 一 次 性 执行 。 内 核 事务 管理 器 的 目的 是 方便 进行 大 量 的 错误 恢复 工作 ， 它 允许 事务 
客户 端的 插入 (plug into)， 事 务 客户 端 通过 这 样 的 方式 来 使 用 内 核 事务 管理 器 所 管理 的 资源 。 


12. SMB2 网 络 文件 系统 


SMB (Server Message Block， 服务 器 信息 模块 ) 在 很 早 以 前 就 成 为 了 Windows 自 带 的 网 络 文件 
系统 。 随 着 多 媒体 文件 体积 的 日 渐 巨 增 ， 对 服务 器 的 要 求 也 相应 的 增加 了 。 在 微软 的 内 部 测试 中 
SMB2 的 速度 比 Windows Server 2003 中 的 网 络 文件 系统 要 快 4 .5 倍 ， 相 当 于 400% 的 效率 提升 。 


13. 地 址 空间 的 随机 加 载 


ASLR (Address Space Layout Randomization, 地 址 空间 配置 随机 化 ) 或 许 是 Windows Vista 
中 最 具 争 议 的 一 项 功能 , 它 直 接 导致 了 操作 系统 的 任何 两 个 并 发 实例 每 次 都 会 载 入 到 不 同 的 内 
存 地 址 上 。 微软 表 示 , 这 项 功能 不 会 影响 普通 的 系统 服务 ， 所 以 不 必 担心 应 用 程序 无 法 链接 到 
需要 使 用 的 服务 。 恶意 软件 其 实 就 是 一 堆 不 守 规矩 的 代码 , 不 会 按照 操作 系统 要 求 的 正常 程序 
执行 ， 经 常 利 用 早期 Windows 版 本 在 固定 内 存 地 址 加 载 文件 上 的 缺陷 ， 能 够 找到 在 32 位 的 
Windows XP SP2 下 哪里 装载 着 KERNEL32.DLL, 并 随意 的 进行 访问 。 因 为 不 管 任何 机 器 在 任 
何 时 候 启动 ， 这 个 DLL 每 次 都 会 被 载 入 同一 个 内 存 空间 地 址 ， 所 以 非常 容易 恶意 利用 。 而 现 
在 有 了 ASLR， 系 统 会 在 启动 时 从 256 个 随机 位 置 中 选取 一 个 ， 并 附加 16M 空间 的 〈 正 或 负 ) 
偏 移 ， 恶 意 软 件 能 找到 这 些 位 置 的 机 会 可 以 说 是 相当 的 渺茫 。 

14. Windows 硬件 错误 体系 

微软 的 确 开始 将 Windows 错误 进行 标准 化 ， 确 切 地 说 是 应 用 程序 向 系统 报告 错误 的 一 种 
协议 。 在 过 去 ,设备 报告 其 错误 的 方式 多 种 多 样 ， 各 种 硬件 系统 之 间 没 有 既定 的 标准 。 直 至 今 
日 , 要 编写 一 个 按照 统一 模式 来 整理 和 显示 各 种 错误 的 程序 也 是 极其 困难 的 , 因为 不 同 的 错误 
源 有 不 同 的 错误 代码 。 而 在 Windows Server 2008 里 ， 所 有 的 硬件 相关 错误 都 使 用 同样 的 界面 
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汇报 给 系统 ， 第 三 方 软件 就 能 轻松 管理 、 消 除 错误 ， 管 理工 具 的 发 展 也 会 更 轻松 。 

15. 下 一 代 加 密 技术 (CNG) 

CNG (Cryptography Next Generation) 加 密 技术 提供 了 灵活 的 加 密 开发 平台 ,允许 IT 专业 
人 员 在 与 加 密 相 关 的 应 用 程序 (如 Active Directory 证 书 服务 、 安 全 套 接 字 层 (SSL) 和 Intemet 
协议 安全 (IPSec)) 中 创建 、 更 新 和 使 用 自 定义 加 密 算法 。 


1.1.3 Windows Server 2008 的 硬件 需求 


虽然 Windows Server 2008 在 搭建 环境 和 其 他 特征 上 与 Window Server 2003 很 相似 ， 但 还 
是 有 些 地 方 需要 特别 注意 ， 尤 其 是 对 于 硬件 配置 的 要 求 方面 ， 如 显示 设备 、 网 络 适 配器 、 光 驱 
软驱 、 键 盘 鼠 标 等 ， 均 要 保证 与 Windows Server 2008 系统 相 兼容 。 如 表 1.1 中 列 出 的 一 些 最 
开始 安装 时 的 配置 建议 。 
表 1.1 Windows Server 2008 系统 的 硬件 需求 


相关 信息 具体 说 明 
处 理 器 最 低 1.0GHz x86 或 1.4GHz x64 
推荐 2.0GHz 或 更 高 ， 安 腾 版 则 需要 Itanium 2 
内 存 最 低 512MB 
推荐 2GB 或 更 多 
内 存 最 大 支持 32 位 标准 版 4GB、 企 业 版 和 数据 中 心 版 64GB 
64 位 标准 版 32GB， 其 他 版 本 2TB 
硬盘 最 少 10GB， 推 荐 40GB 或 更 多 
内 存 大 于 16GB 的 系统 需要 更 多 空间 用 于 页 面 、 休 眠 和 转 存储 文件 
备注 光驱 要 求 DVD-ROM; 


显示 器 要 求 至 少 SVGA 800X600 分 辨 率 ， 或 更 高 。 
1.1.4 Windows Server 2008 安装 前 的 准备 


为 了 保证 Windows Server 2008 能 够 顺利 安装 ， 在 开始 安装 前 必须 做 好 准备 工作 ， 包 括 检 
查 日 志 错 误 、 备 份 文件 、 断 开 网 络 以 及 断 开 非 必要 的 硬件 连接 等 。 另 外 ，Windows Server 2008 
对 硬盘 空间 要 求 比较 大 ， 系 统 分 区 至 少 为 10GB， 不 过 ， 为 了 保证 系统 更 好 的 运行 、 安 装 更 新 
或 其 他 软件 做 准备 ， 建 议 设置 为 40GB 或 更 大 。 


1. 切断 与 硬件 设备 的 连接 


如 果 计 算 机 正 与 打印 机 、 扫 描 仪 或 者 不 间断 电源 (UPS) 等 非 必要 的 外 设 连接 ， 则 应 在 运 
行 安装 程 序 之 前 将 其 断 开 ， 避 免 安 装 程序 在 自动 检测 这 类 设备 时 出 现 问题 。 
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2. 断 开 网 络 连接 

网 络 中 可 能 会 有 病毒 在 传播 , 如 果 不 是 通过 网 络 安装 操作 系统 , 在 安装 之 前 就 应 断 开 网 络 
连 或 直接 拔 下 网 线 ， 以 免 新 安装 的 系统 又 被 感染 上 病毒 。 

3. 检查 系统 日 志 ， 寻 找 错误 

如 果 在 计算 机 中 已 经 安装 了 其 他 操作 系统 ， 建 议 使 用 “事件 查看 器 ”查看 系统 日 志 ， 找 出 
可 能 在 升级 期 间 引发 问题 的 最 新 错误 或 重复 发 生 的 错误 。 

4. 备份 数据 

如 果 服务 器 中 已 安装 有 其 他 系统 ,为 了 避免 丢失 重要 数据 ,建议 在 升级 前 备份 有 用 的 数据 ， 
包括 计算 机 运行 所 需 的 全 部 数据 和 配置 信息 , 以 及 所 有 的 用 户 和 相关 数据 , 尤其 是 一 些 提供 网 
络 服务 数据 (例如 DHCP 数据 等 )。 建 议 将 文件 备份 到 各 种 不 同 的 媒体 ， 例 如 ， 磁 带 驱动 器 或 
网 络 上 其 他 计算 机 的 硬盘 ， 而 尽量 不 要 保存 在 本 地 计算 机 的 磁盘 中 。 

5. 检查 硬件 和 软件 兼容 性 


如 果 要 将 Windows 2000 Server 或 Windows Server 2003 升级 到 Windows Server 2008, 为 了 
保证 应 用 程序 的 兼容 性 ， 可 以 使 用 “Microsoft 应 用 程序 兼容 性 工具 包 ” 进 行 检测 ， 并 可 用 来 
准备 安装 Windows Server 2008。 

6. 加 载 驱动 程序 

由 于 服务 器 中 往往 安装 有 RAID 卡 等 设备 , 而 这 些 设备 可 能 无 法 被 Windows 系统 所 识别 ， 
因此 , 必须 在 安装 之 前 就 加 载 相应 的 驱动 程序 。 大 多 数 品 牌 服务 器 出 厂 时 就 已 经 配备 了 引导 光 
盘 ， 用 来 加 载 各 种 驱动 程序 并 引导 安装 Windows Server 2003。 因 此 ， 建 议 使 用 引导 光盘 安装 。 
如 果 没 有 引导 光盘 ， 那 么 ， 安 装 操作 系统 之 前 可 以 只 加 载 RAID 控制 器 的 驱动 程序 ， 否则, 无 
法 安装 操作 系统 。 至 于 其 他 设备 的 驱动 程序 ， 可 以 在 系统 安装 完成 后 再 安装 。 


7. 使 用 DVD 光驱 


由 于 Windows Server 2008 安装 程序 比较 大 ， 安 装 光盘 采用 的 是 DVD 格式 ， 因 此 ， 服 务 
器 必须 配备 DVD 光驱 ，VCD 无 法 读 取 。 


1.1.5 Windows Server 2008 的 安装 方式 


Windows Server 2008 可 以 采用 多 种 方式 安装 ， 不 同 的 安装 方式 分 别 适用 于 不 同 的 环境 ， 
选择 合适 的 安装 方式 , 可 以 更 加 顺利 地 安装 好 系统 。 一 般 情 况 下 ,可 以 通过 如 下 几 种 方法 安装 
Windows Server 2008 操作 系统 : 

1. 全 新 安装 

使 用 CD 启动 计算 机 并 进行 安装 ， 这 是 最 基本 的 方法 ， 也 为 绝 大 部 分 计算 机 所 支持 。 全 新 
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安装 或 者 重新 安装 服务 器 时 , 往往 会 用 到 服务 器 厂商 提供 的 引导 光盘 或 工具 盘 , 然后 根据 提示 
信息 适时 插入 Windows Server 2008 安装 光盘 即 可 。 

2. 升级 安装 

如 果 计算 机 中 原来 安装 的 是 Windows 2000 Server 或 Windows Server 2003 等 操作 系统 , 可 
以 直接 升级 成 Windows Server 2008， 此 时 不 需要 卸载 原来 的 Windows 系统 ， 只 要 在 原来 的 系 
统 基础 上 进行 升级 安装 即 可 ， 而 且 升级 后 还 可 保留 原来 的 配置 。 

从 不 同 版 本 的 Windows Server 2003 可 以 升级 到 相应 版 本 的 Windows Server 2008。 如 表 1.2 
列 出 了 不 同 版 本 操作 系统 的 升级 原则 。 

表 12 Windows Server 2003 升级 原则 


当前 系统 版 本 可 以 升级 到 的 2008 版 本 
Windows Server 2003 R2 标准 版 Windows Server 2008 标准 版 
Windows Server 2003 标准 版 (SP1) Windows Server 2008 企业 版 


Windows Server 2003 标准 版 (SP2) 
Windows Server 2003 R2 企业 版 

Windows Server 2003 企业 版 (SP1) 
Windows Server 2003 企业 版 (SP2 ) 


3. 通过 Windows 部 署 服务 远程 安装 


与 Windows 2000/2003 一 样 ，Windows Server 2008 也 支持 通过 网 络 从 Windows 部 署 服务 
器 远程 安装 ， 并 且 可 以 通过 应 答 文件 实现 自动 安装 。 当 然 ， 服 务 器 网 卡 必 须 具 有 PXE ( 预 引 
导 执行 环境 ) 功能 ， 可 以 从 远程 引导 。 


Windows Server 2008 企业 版 


1.2 Windows Server 2008 的 初始 配置 


安装 Windows Server 2008 与 Windows Server 2003 最 大 的 区 别 就 是 , 在 安装 过 程 中 无 需 设 
置 计算 机 名 、 网 络 连接 等 信息 ， 所 需 时 间 也 大 大 减少 。 不 过 ,在 安装 完成 后 ， 就 应 该 设置 计算 
机 名 和 也 地 址 、 配 置 Windows 防火 墙 和 自动 更 新 等 ， 这 些 均 可 在 “初始 配置 任务 ”或 “服务 
器 管理 器 ”中 完成 。 


1.2.1 启用 Windows 防火 墙 


Windows Server 2008 自 带 了 Windows 防火 墙 功能 ， 可 以 有 效 地 防止 服务 器 上 未 经 允许 的 
程序 与 网 络 进行 通信 ,从 而 在 一 定 程度 上 保护 了 服务 器 与 网 络 的 安全 。 如果 要 允许 某 个 程序 与 
网 络 通信 , 可 以 将 其 添加 到 Windows 防火 墙 的 “例外 ”中 。 默认 状态 下 , 安装 完 Windows Server 
2008 系统 以 后 ，Windows 防火 墙 为 开启 状态 。 
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图 1.1 


“Windows 防火 墙 ”窗口 


03 设置 完成 后 ， 单 击 “ 确 定 ”按钮 保存 即 可 。 


1.2.2 配置 自动 更 新 


四 2 单 击 “ 更 改 设置 ”链接 ， 或 者 单 击 “ 启 用 或 关 
闭 Windows 防火 墙 ”链接 ， 显 示 如 图 1.2 所 示 
“Windows 防火 墙 设置 ”对 话 框 , 默认 选择 “启用 ” 
单 选 按钮 ， 启 用 防火 墙 。 如 果 连 接 到 不 太 安全 的 网 
络 ， 为 了 保护 服务 器 的 安全 ， 可 选中 “阻止 所 有 传 
入 连接 ” 复 选 框 , 可 以 阻止 所 有 的 程序 与 网 络 通信 。 
选择 “关闭 ” 单 选 按钮 则 禁用 防火 墙 。 


| | | 
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图 1.2 “Windows 防火 墙 设置 ”对 话 杠 


为 了 保护 Windows 系统 的 安全 , 微软 公司 会 不 定期 发 布 各 种 更 新 程序 ， 以 修补 系统 漏洞 ， 
提高 系统 性 能 。 因 此 ， 系 统 更 新 是 Windows 系统 必 不 可 少 的 功能 。 在 Windows Server 2008 服 
务 器 中 , 为 了 避免 因 漏洞 而 造成 故障 ， 必 须 启 用 自动 更 新 功能 ， 并 配置 系统 定时 或 自动 下 载 安 


区 域 中 单 击 “ 配 置 更 新 ” 超 链接 ， 显 示 如 图 1.3 所 示 “Windows Update” 窗 口 。Windows Server 2008 


装 更 新 程序 。 
01 依次 打 
安装 完成 后 ， 上 默认 没有 配置 自动 更 新 。 


2 单 击 “ 更 改 设置 ”链接 ， 显 示 如 图 1.4 所 示 “ 更 改 设置 ”窗口 。 在 这 里 可 以 选择 Windows 安装 更 新 的 
方法 。 如 果 选 择 “从 不 检查 更 新 ” 单 选 按钮 ， 则 禁用 自动 更 新 功能 。 

013 单 击 “ 确 定 ” 按钮 保存 设置 。Windows Server 2008 就 会 根据 所 做 配置 自动 从 Windows Update 网 站 检 
测 并 下 载 更 新 。 
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图 1.3 “Windows Update” 窗 口 1.4 “更 改 设置 ”窗口 


1.3” ”Windows Server 2008 系统 安全 


启用 Windows 防火 墙 、 配 置 Windows Update 可 以 从 一 定 程度 上 确保 服务 器 系统 的 安全 ， 
但 是 对 服务 器 上 安装 的 应 用 程序 、 服 务 器 角色 起 不 到 任何 保护 作用 。 为 此 , 完成 相应 网 络 服务 
的 部 署 之 后 ， 管 理 员 应 借助 Windows Server 2008 提供 的 安全 配置 向 导 ， 为 指定 服务 或 网 络 应 
用 定制 安全 配置 策略 。 


1.3.1 安全 配置 向 导 


安全 配置 向 导 (Security Configuration Wizard ，SCW) 可 以 帮助 管理 员 快速 完成 创建 、 编 
辑 、 应 用 和 回 滚 安全 策略 操作 。 在 Windows Server 2008 系统 中 ， 已 经 默认 集成 安全 配置 向 导 ， 
用 户 无 需 安装 即 可 直接 应 用 。 


1. 注意 事项 


SCW 是 一 个 完全 基于 服务 角色 的 工具 ， 用 户 可 以 根据 需要 创建 针对 某 个 服务 器 角色 的 安 
全 策略 , 并 且 可 以 将 其 应 用 到 其 他 相应 类 型 的 服务 器 上 。 配 置 和 应 用 SCW 时 应 注意 以 下 几 点 : 


mm SCW 禁用 不 需要 的 服务 并 提供 对 具有 高 级 安全 性 的 Windows 防火 墙 的 支持 ; 

使 用 SCW 创建 的 安全 策略 与 安全 模板 不 同 ， 其 中 前 者 扩展 名 为 .xml， 而 后 者 扩展 名 
为 .inf。 用 户 创建 的 安全 策略 源 于 安全 模板 ， 安 全 模板 包含 的 安全 设置 可 以 应 用 于 所 有 
的 服务 器 角色 ; 

于 部 署 SCW 安全 策略 后 并 不 会 影响 服务 器 提供 服务 时 所 需 的 组 件 ， 并 且 应 用 之 后 ， 管 理 
员 仍 可 以 通过 服务 器 管理 器 安装 所 需 的 组 件 ; 

应 用 SCW 安全 策略 之 后 ，SCW 将 自动 选择 所 有 从 属 角色 ; 

里 创建 和 应 用 SCW 安全 策略 时 ， 应 确保 服务 器 的 瑟 协议 及 端口 配置 完全 正确 。 


2. 配置 安全 策略 


01 依次 选择 “开始 ”一 “管理 工具 ”一 “安全 配 2 单 击 “ 下 一 步 ” 按钮， 显示 “配置 操作 ”对 话 
置 向 导 ” 命 令 ， 启 动 “欢迎 使 用 安全 配置 向 导 ” 对 ” 框 ， 选 中 “新 建安 全 策略 ” 单 选 按钮 。 单 击 “ 下 一 
话 框 。 也 可 以 在 “开始 ”菜单 的 “开始 搜索 ”文本 ” 步 ”按钮 ， 显 示 如 图 1.5 所 示 “ 选 择 服务 器 ”对 话 
框 中 输入 scw.exe 命令 ， 来 启动 安全 配置 向 导 。 框 。 在 “服务 器 ”文本 框 中 ， 输 入 需要 进行 安全 配 
置 的 Windows Server 2008 服务 器 的 主机 名 或 IP 地 
址 。 也 可 以 单 击 “ 浏 览 ” 按 钮 ， 选 择 需要 进行 安全 
配置 的 目标 计算 机 。 


图 1.5 选择 服务 器 
安全 配置 向 导 提 供 了 4 种 配置 操作 : 


四 创建 新 的 安全 策略 。 可 以 创建 用 于 配置 服务 Windows 防火 墙 Intemet 协议 安全 (IPsec) 
设置 、 审 核 策略 和 特定 注册 表 设 置 的 安全 策略 。 安 全 策略 文件 是 XML 格式 文件 ， 默认 
保存 路 径 为 %systemrootobvsecuritymsscw\Policies; 

和 编辑 现 有 安全 策略 。 可 以 编辑 已 使 用 SCW 创建 的 安全 策略 。 必 须 先 选 择 “ 编 辑 现 有 安 
全 策略 "， 才 能 浏览 到 要 编辑 的 安全 策略 文件 所 在 的 文件 来 。 编 辑 的 策略 可 存储 在 本 地 
上 或 网 络 共享 文件 夹 中 ; 

应 用 现 有 安全 策略 。 使 用 SCW 创建 安全 策略 后 ， 可 将 其 应 用 到 测试 服务 器 ， 或 者 应 用 
到 生产 环境 ; 


提示 “在 将 新 创建 或 新 修改 的 安全 策略 应 用 到 生产 环境 之 前 ,首先 进行 测试 ， 然 后 将 安全 


策略 部 署 到 业务 系统 中 ,测试 可 使 新 策略 在 生产 环境 中 导致 意外 结果 的 可 能 性 降 至 
最 低 。 


里 回 滚 上 一 次 应 用 的 安全 策略 。 如 果 使 用 SCW 应 用 的 安全 策略 使 服务 器 功能 达 不 到 预期 
的 效果 ,或 者 导致 其 他 非 预 期 结果 , 则 可 以 回 滚 该 安全 策略 , 将 自动 从 该 服务 器 删除 对 
应 的 安全 策略 。 
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注意 ”如果 策略 是 在 “本 地 安全 策略 ”中 编辑 的 ,在 应 用 策略 后 ,这 些 更 改 就 不 能 回 滚 到 

鸠 应 用 前 的 状态 。 对 于 服务 和 注册 表 值 ， 回 滚 这 程 还 原 了 在 配置 过 程 中 更 改 的 设置 。 
对 于 Windows 防火 墙 和 IPSec， 回 滚 过 程 取消 当前 使 用 的 任何 SCW 策略 的 分 配 ， 
并 重新 分 配 在 配置 时 使 用 的 前 策略 。 


03 单 击 “ 下 一 步 ” 按钮， 开始 扫 措 配置 数据 库 ， 主 要 包括 已 安装 或 运行 的 网 络 服务 、IP 地 址 及 子 网 信息 等 。 
扫描 完成 显示 如 图 1.6 所 示 “ 正 在 处 理 安全 配置 数据 库 ” 对 话 框 。 单 击 “ 查 看 配置 数据 库 ”按钮 ， 打 开 
“SCW 查看 器 ”对 话 框 ， 在 这 里 可 以 查看 详细 扫 措 结果 。 
[xsnzs5 °° 


正在 处 理 安全 配置 款 据 床 
实 全 避 寺 所 床 包 全 角色 和 其 他 只 能 的 信 息 > 


EC 


》 服 务 Tr 
》Windows 防火 堵 


图 1.6 “正在 处 理 安全 配置 数据 库 ”对 话 框 及 数据 库 配 置信 息 


提示 ”需要 注意 的 是 , 在 此 过 程 中 由 于 Internet Explorer 7.0 的 安全 设置 ,可 能 会 出 现 安全 
提示 信息 ， 单 击 “是 ”按钮 跳 过 即 可 。 


04 单 击 “ 下 一 步 ” 按钮 ， 显 示 “ 基 于 角色 的 服务 配置 ”对 话 框 。 安 全 配置 向 导 可 以 根据 当前 服务 器 提供 网 
络 服务 的 不 同 ， 配 置 相应 的 安全 策略 。 依 次 单 击 “下 一 步 ” 按 钮 ， 选 择 服务 器 角色 、 客 户 端 功能 和 管理 
选项 ， 如 图 1.7 所 示 。 
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图 1.7 选择 服务 器 角色 、 客 户 端 功能 和 管理 选项 
在 “选择 服务 器 角色 ”对 话 框 的 “查看 ”下 拉 列 表 框 中 ,提供 了 4 种 可 供 选择 的 抉择 模式 。 
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四 所 有 角色 : 列表 框 出 所 有 的 Windows Server 2008 可 以 使 用 的 角色 列表 框 ; 

@ 安装 的 角色 : 列 出 当前 服务 器 中 已 经 安装 的 角色 ， 包 括 没 有 设置 的 角色 ; 

四 未 安装 的 角色 : 列 出 当前 服务 器 中 没有 安装 的 角色 ， 不 包括 没有 设置 的 角色 ; 

四 选 定 的 角色 : 列 出 当前 服务 器 中 已 经 选 定 的 角色 。 

注意 为 了 保证 服务 器 的 安全 , 仅 选 择 所 需要 的 服务 器 角色 即 可 ， 如 本 例 中 只 选择 “Web 
服务 器 ”"。 选 择 多 余 的 服务 器 角色 ， 会 增加 Windows Server 2008 系统 的 安全 隐患。 


05 依次 单 击 “ 下 一 步 ”按钮 ， 配 置 其 他 服务 、 未 指定 的 服务 、 确 认 对 服务 的 更 改 ， 从 而 完成 对 指定 服务 器 
角色 的 安全 策略 配置 ， 如 图 1.8 所 示 。 其 中 在 “处 理 未 指定 的 服务 ”对 话 框 中 ， 提 供 了 两 种 处 理 方式 ， 
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图 1.8 选择 其 他 服务 和 未 指定 的 服务 
保持 服务 的 当前 启动 模式 。 如 果 选 择 此 选项 , 则 在 应 用 此 安全 策略 的 服务 器 上 启用 的 未 
指定 服务 将 保持 启用 状态 ， 而 禁用 的 那些 服务 将 保持 禁用 状态 ; 
禁用 服务 。 如 果 选 择 此 选项 , 则 不 在 安全 配置 数据 库 中 的 或 未 安装 在 选 定 服务 器 上 的 所 
有 服务 都 将 被 禁用 。 
06 单 击 “ 下 一 步 ” 按钮 ， 显 示 “ 网 络 安全 ”对 话 框 ， 开 始 配置 与 服务 器 角色 相关 的 Windows 防火 墙 规则 ， 
建议 不 要 跳 过 此 步骤 。 依 次 单 击 “ 下 一 步 ”按钮 ， 设 置 网 络 安全 规则 ， 如 图 1.9 所 示 。 
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图 1.9 配置 网 络 安全 选项 
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如 果 “ 网 络 安全 规则 ”列表 中 没有 列 出 需要 使 用 的 Windows 防火 墙 规则 ， 可 以 单 击 “ 添 
加 ”按钮 ， 打开 如 图 1.9 所 示 “ 添 加 规则 ”对 话 框 ， 将 其 添加 到 列表 中 。 在 “名 称 ” 文 本 框 中 ， 
输入 防火 墙 规则 的 名 称 ， 如 www， 为 了 便于 区 分 还 可 以 输入 相关 的 描述 信息 ; 在 “方向 ” 选 
项 框 中 ， 选择“ 入 站 ” 单 选 按钮 另外， 还 可 以 根据 需要 在 “操作 ”选项 框 中 选择 相应 限制 连 
接 方式 。 
0 7 单 击 “ 下 一 步 ” 按钮， 显示 “注册 表 设置 ”对 话 框 。 通 过 该 设置 可 以 修改 Windows Server 2008 服务 器 
注册 表 中 一 些 特殊 键 值 ， 从 而 严格 限制 用 户 的 访问 权限 。 建 议 用 户 不 要 跳 过 此 步骤 。 单 击 “ 下 一 步 ” 按 
钮 ， 配 置 SMB 安全 签名 选项 ， 如 图 1.10 所 示 。 
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图 1.10 设置 注册 表 和 SMB 安全 签名 选项 
08 依次 单 击 “ 下 一 步 ” 按钮， 设置 出 站 身份 验证 方法 、 使 用 的 用 户 帐户 类 型 和 确认 注册 表 设 置 摘要 ， 如 图 
1.11 所 示 。 如 果 是 在 域 网 络 中 进行 远程 登录 ， 在 “出 站 身份 验证 方法 ”对 话 框 中 ， 选中“ 域 帐户 ” 复 选 
框 即 可 ; 如 果 是 工作 组 环境 ， 建 议 选中 “远程 计算 机 上 的 本 地 帐户 ” 复 选 框 。 
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图 1.11 出 站 身份 验证 方法 和 用 户 帐户 类 型 


0 9 单 击 “ 下 一 步 按钮 ， 显 示 “ 审 核 策略 ”对 话 框 。Windows 审核 策略 主要 用 于 审核 日 志 记 录 中 的 相关 内 
容 ， 并 确定 受 影响 的 系统 对 象 。 安 全 策略 回 滚 功能 是 无 法 回 滚 安全 向 导 中 的 审核 策略 设置 的 。 依 次 单 击 


图 1.12 设置 审核 策略 


1 0 单 击 “ 下 一 步 ”按钮 ， 显 示 “ 保 存 安全 策略 ”对 话 框 。 保 存 之 后 ， 即 可 将 该 安全 策略 应 用 到 当前 或 其 他 
服务 器 上 。 单 击 “ 下 一 步 ”按钮 ， 设 置 安全 策略 文件 名 及 保存 路 径 ， 如 图 1.13 所 示 。 


图 1.13 保存 安全 策略 


提示 。 单 击 “包括 安 全 模板 ”按钮 ,还 可 以 向 当前 安全 策略 中 添加 其 他 安全 模板 中 的 安全 
规则 ， 这 些 规则 将 拥有 较 高 的 优先 级 。SCW 回 滚 功 能 将 无 法 回 滚 已 经 应 用 的 策略 
模板 中 的 规则 设置 。 


十 人 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 1.14 所 示 “ 应 ”站 2 单 击 “ 下 一 步 ”按钮 显示 如 图 1.15 所 示 “ 正 
用 安全 策略 ”对 话 框 。 如 果 选 中 “现在 应 用 ” 单 选 按 “在 完成 安全 配置 向 导 ”对 话 框 。 单 击 “ 完 成 ”按钮 ， 
钮 ,可 以 将 安全 策略 立即 应 用 到 当前 服务 器 ; 建议 选 ”完成 安全 策略 的 设置 。 

择 “ 稍 后 应 用 ” 单 选 按钮 ， 测试 之 后 再 应 用 到 服务 器 。 
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EEEEEE 要 
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个 箭 后 应 用具 可以 在 下 列 食 畦 找 网 ;着 哇 的 去 宇 沪 虹 : 
公休 二 b 有 二星 。 Gdnstinemi teeterentitlon ant 

个 现在 应 用 避 ) 于 稍 后 瞩 攻 项 本 应 用 玉宇 的 服务 加 或 其 他 那 务 畴 ， 请 重新 运行 此 问 
您“ 下 一 步 ”， 此 向 后 对 这 元 关 应用 上 安全 妆 隐 > 于 


二 SS. 清音 击 " 守 内 *。 


了 着 有 关 应 用 安全 洗 骤 的 更 多 信息 * 
= rn | 
图 1.14 “应 用 安全 策略 ”对话 杠 图 1.15 “正在 完成 安全 配置 向 导 ” 对 话 框 


3. 应 用 安全 配置 策略 


使 用 安全 配置 向 导 创 建 的 安全 策略 ， 可 直接 应 用 于 所 有 运行 Windows Server 2008 或 者 
Windows Server 2003 SP1/SP2/R2 操作 系统 的 网 络 服务 器 。 大 规模 应 用 安全 策略 之 前 必须 经 过 
严格 测试 , 确认 可 行 之 后 方 可 部 署 。 应 用 安全 配置 策略 之 后 ， 必 须 重新 启动 计算 机 才 生 效 。 应 
用 安全 策略 的 主要 操作 步骤 如 下 ; 


01 选择 “开始 ”一 “管理 工具 ”一 “安全 配置 “02 单 击 “ 下 一 步 ”按钮 ,显示 如 图 1.17 所 示 “ 选 
向 导 ” 命 令 ， 打开 “安全 配置 向 导 ” 对 话 框 ， 单 择 服 务 器 ”对 话 框 ， 在 “服务 器 ”文本 框 中 ， 输 入 
击 “ 下 一 步 ”按钮 ， 在 “配置 操作 ”对 话 框 中 ， 想 要 应 用 到 的 服务 器 名 称 或 IP 地 址 如 果 目 标 服务 
选中 “应 用 现 有 安全 策略 ” 单 选 按钮 ， 在 “ 现 有 ”器 为 远程 主机 ， 则 应 单 击 “ 指 定 用 户 帐户 ”按钮 ， 

安全 策略 文件 ”文本 框 中 单 击 “ 浏 览 ” 按 钮 ， 选 。 选择 连接 到 指定 主机 部 署 安全 策略 使 用 的 用 户 帐户 


择 安全 策略 文件 的 路 径 ， 如 图 1.16 所 示 。 及 凭证 。 
去 全 本 向 全 EE 
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局 21 
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《< 上 - 步 中 | 职 清 《上 - 步 g) 取消 
1.16 “配置 操作 ”对 话 框 图 1.17 “选择 服务 器 ”对 话 框 


03 依次 单 击 “ 下 一 步 ”按钮 ， 查 看 安全 策略 内 容 并 应 用 ， 如 图 1.18 所 示 。 在 “应 用 安全 策略 ”对 话 框 中 ， 可 以 查 
看 所 选 安全 策略 的 找 述 信息 ， 单 击 “ 查 看 安全 策略 ”按钮 打开 “SCW 查看 器 ”窗口 ， 查 看 其 详细 信息 。 将 安 
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图 1.18 查看 安全 策略 内 容 并 应 用 
04 单 击 “ 完 成 ”按钮 ， 关 闭 安全 配置 向 导 。 重 新 启动 计算 机 后 ， 应 用 的 安全 策略 即 可 生效 。 


1.3.2 配置 Windows Defender 


间谍 软件 通常 是 指 自动 安装 , 或 者 未 提供 足够 通知 、 同 意 或 控制 的 情况 下 , 就 在 计算 机 上 
运行 的 应 用 程序 。 为 了 应 对 网 络 中 泛滥 的 木马 、 间 谍 软 件 等 恶意 程序 对 系统 安全 的 挑战 , 微软 
也 推出 了 反 木马 、 间 谍 软 件 的 专用 程序 Windows Defender。Windows Defender 的 前 身 是 Giant 
公司 的 Giant Antispyware， 微 软 将 该 公司 收购 后 将 其 更 名 为 Windows Defender。 


1. Windows Defender 概述 


Windows Defender 是 微软 公司 提供 的 一 款 免费 组 件 ， 并 且 在 Windows Vista 和 Windows 
Server 2008 系统 中 ，Windows Defender 已 经 成 为 系统 默认 安装 的 安全 组 件 之 一 。Windows 
Defender 具有 如 下 主要 功能 。 


(1) 提供 完备 的 恶意 软件 清除 功能 


Windows Defender 在 扫描 查 杀 的 同时 ， 还 会 对 恶意 软件 添加 的 文件 以 及 修改 的 注册 表 内 
容 进行 同步 检测 和 删除 ， 清 除 比较 干净 。 


(2) 与 杀毒 软件 相得益彰 


Windows Defender 是 设计 用 来 检测 、 删 除 或 隔离 用 户 电 脑 中 的 已 知 或 可 疑 间谍 软件 的 安 
全 防御 工具 , 针对 的 是 杀毒 工具 无 法 处 理 的 恶意 软件 , 所 以 并 不 会 和 系统 中 安装 的 防 病毒 软件 
冲突 ， 相 反 两 者 配合 工作 ， 安 全 防御 效果 会 更 好 。 


(3 ) 提供 多 种 灵活 扫描 方式 
Windows Defender 提供 如 下 3 种 扫描 方式 ， 用 户 可 根据 实际 需要 选择 : 


Ry 
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@ Quick Scan: 它 可 以 扫描 间谍 软件 常用 的 安装 目录 ,可 以 在 最 短 的 时 间 里 发 现 大 多 数 间 
谍 软 件 ; 

@ Full Scan: 它 可 以 扫描 电脑 中 的 全 部 硬盘 分 区 以 及 全 部 文件 夹 。 这 种 扫描 方式 非常 彻底 ， 
但 是 耗 时 较 多 , 具体 的 耗 时 根据 用 户 的 硬盘 大 小 以 及 文件 多 少 来 决定 。 另外， 扫描 过 程 
中 ， 系 统 的 整体 运行 速度 会 有 所 下 降 ; 

@ Custom scan: 在 这 种 方式 下 ， 用 户 可 以 选择 所 要 扫描 的 硬盘 分 区 和 文件 来。 如果 
Windows Defender 在 这 种 模式 下 发 现 了 间谍 软件 ， 将 进而 启动 Quick Scan 模式 对 间谍 
软件 进行 清除 或 隔离 。 

(4) 实时 监控 功能 


Windows Defender 最 大 的 特点 在 于 当 恶意 软件 试图 入 侵 计 算 机 时 ， 会 自动 提醒 用 户 。 需 
要 注意 的 是 ， 只 有 当 恶 意 软件 是 与 其 它 软件 捆绑 安装 时 ，Windows Defender 才 会 警报 提醒 ， 
而 当 直 接 安装 恶意 软件 时 ， 则 不 会 表现 任何 动作 。 


(5) 管理 员 可 以 监控 用 户 行为 
管理 员 可 以 允许 用 户 使 用 Windows Defender 扫描 电脑 ， 在 发 现 可 疑 程序 后 选择 相应 的 执 


行动 作 ， 以 及 查看 Windows Defender 的 活动 纪录 。 管 理 员 还 可 以 限制 Windows Defender 的 管 
理 权 限 。 在 默认 情况 下 ， 任 何 用 户 都 可 以 使 用 Windows Defender。 


2. 配置 Windows Defender 选项 


如 果 不 希 望 每 次 使 用 Windows Defender 的 默认 设置 扫描 系统 , 可 以 在 “Windows Defender” 
窗口 中 ， 单 击 “ 工 具 ” 按 钮 进行 自 定义 配置 ， 打 开 “ 工 具 和 设置 ”对 话 框 ， 继 续 单 击 “ 选 项 ” 
链接 ， 打 开 如 图 1.19 所 示 窗 口 ， 在 这 里 即 可 设置 包括 计划 扫描 、 实 时 防护 、 默 认 操 作 、 管 理 
员 选 项 等 在 内 的 Windows Defender 高 级 选项 。 
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图 1.19 配置 Windows Defender 选项 
(1) 自动 扫描 
在 “自动 扫描 ”选项 区 域 , 选中 “自动 扫描 计算 机 ” 复 选 框 , 然后 设置 适当 的 扫描 频率 (如 
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每 天 ， 每 周 等 ) 和 执行 扫描 的 时 间 ， 并 在 “类 型 ”下 拉 列 表 中 选择 希望 执行 的 扫描 方式 即 可 。 
建议 选中 “扫描 前 检查 更 新 的 定义 ” 复 选 框 ， 以 便 确保 Windows Defender 定义 库 的 最 新 状态 。 


(2 ) 默认 操作 


在 “默认 操作 ”选项 区 域 中 ， 可 设置 在 不 同 警报 级 别 下 所 执行 的 操作 。Windows Defender 
默认 提供 3 种 警报 等 级 ， 分 别 为 : 高 警报 项 目 、 中 等 警报 项 目 和 低 警 报 项 目 。 用 户 可 以 根据 需 
要 为 每 一 种 警报 等 级 的 项 目 设置 不 同 的 操作 ， 如 对 于 扫描 过 程 中 发 现 的 “高 警报 项 目 ” 可 以 
直接 将 默认 操作 定义 为 “删除 ” 对 于 低 警 报 项 目 则 可 以 设置 为 “忽略 ”。 


里 高 警报 项 目 。 可 能 搜集 个 人 信息 并 对 您 的 隐私 产生 负面 影响 或 损害 计算 机 的 程序 ,例如 ， 
通常 在 未 经 用 户 允 许 的 情况 下 ， 搜 集 信息 或 更 改 设 置 。 建 议 立 即 删除 此 类 项 目 ; 

里 中 等 警报 项 目 。 可 能 影响 用 户 的 隐私 或 更 改 计算 机 对 计算 体验 产生 负面 影响 的 程序 , 例 
如 ,搜集 个 人 信息 或 更 改 设置 。 对 于 此 类 项 目 , 建议 用 户 复查 警报 详细 信息 ,查看 为 何 
会 检测 到 此 软件 。 如 果 不 喜 欢 软件 的 操作 方式 ， 或 如 果 不 了 解 和 信任 发 行者 ， 则 考虑 阻 
止 或 删除 此 类 项 目 ; 

低 警 报 项 目 。 可 能 不 需要 的 软件 会 搜集 有 关 用 户 或 计算 机 的 信息 ， 或 更 改 计算 机 的 运行 广 
式 , 但 它 按照 协议 操作 ， 安 装 时 会 显示 许可 条 款 。 此 类 项 目 应 视 情况 而 定 ， 如 果 安 装 之 前 
提示 相关 信息 及 安装 结果 , 则 可 以 保留 。 如 果 不 能 确定 信任 该 软件 的 发 行者 , 则 建议 删除 。 


(3 ) 实时 保护 选项 


在 如 图 1.20 所 示 “ 实 时 保护 选项 ”区 域 中 , 选中 “使 用 实时 保护 ” 复 选 框 , 即 可 启用 Windows 
Defender 实时 保护 功能 .Windows Defender 实时 保护 的 项 目 包括 : 系统 配置 \IE 加 载 项 .Internet 
Explorer 配置 、 服 务 和 驱动 、 应 用 程序 执行 、 应 用 程序 注册 、Windows 加 载 项 等 。 默认 情况 下 ， 
Windows Defender 已 经 对 所 有 安全 代理 组 件 开启 实时 保护 功能 。 
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图 1.20 实时 保护 选项 
(4) 高 级 选项 
在 如 图 1.21 所 示 “ 高 级 选项 ”选项 区 域 中 ， 用 户 可 以 对 Windows Defender 扫描 时 的 如 下 
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4 个 高 级 选项 进行 设置 : 


图 1.21 高 级 选项 


@ 扫描 存档 文件 和 文件 来 的 内 容 是 否 存在 潜在 的 威胁 。 扫 描 这 些 位 置 可 能 会 延长 扫描 时 
间 ， 但 间谍 软件 和 其 他 可 能 不 需要 的 软件 会 自行 安装 并 试图 “隐藏 ”在 这 些 位 置 中 ; 
mm 使 用 启发 式 检测 尚未 分 析 风 险 的 软件 的 有 害 或 不 需要 的 行为 。Windows Defender 使 用 

定义 文件 识别 已 知 威胁 ,但 它 还 可 以 检测 未 在 定义 文件 中 列 出 的 软件 的 可 能 有 害 或 不 需 
要 的 行为 ， 并 向 用 户 发 出 警报 ; 
和 在 对 检测 到 的 项 目 应 用 操作 之 前 创建 还 原点 。 由 于 可 以 将 Windows Defender 设置 为 自动 删 
除 检测 到 的 项 目 ， 因 此 如 果 要 使 用 原本 不 想 删除 的 软件 ,， 则 可 以 选择 此 选项 还 原 系统 设置 ; 
昌 不 要 扫描 这 些 文件 或 路 径 。 使 用 此 选项 可 以 选择 任何 用 户 不 希望 Windows Defender 扫 
描 的 文件 和 文件 夹 。 


(5 ) 管理 员 选 项 

在 “管理 员 选 项 ”区 域 中 ， 选 中 “使 用 Windows Defender” 复 选 框 ， 当 间谍 软件 或 其 他 
潜在 不 安全 的 软件 试图 运行 或 安装 在 计算 机 上 时 , 用 户 将 收 到 Windows Defender 发 出 的 警报 ; 
若 选 中 “人 允许 任何 人 使 用 Windows Defender” 复 选 框 ， 则 允许 没有 管理 员 权 限 的 用 户 使 用 


Windows Defender。 
3. 更 新 Windows Defender 定义 库 


使 用 Windows Defender 时 ,保持 其 定义 库 处 于 最 新 状态 是 非常 重要 的 。 定 义 是 一 些 文件 ， 
其 中 包含 了 已 知 间谍 软件 和 其 他 可 能 不 需要 的 软件 特 称 代码 , 类似 于 防 病毒 程序 的 病毒 库 。 由 
于 间谍 软件 在 不 断 发 展 ，Windows Defender 依靠 更 新 定义 来 确定 正 尝试 在 计算 机 上 安装 、 运 
行 或 更 改 设置 的 软件 是 否 为 可 能 不 需要 的 或 恶意 软件 。 

在 配置 Windows Defender 自动 扫描 时 ， 如 果 选 中 “扫描 前 检查 更 新 的 定义 ” 复 选 框 ， 即 
可 将 其 配置 为 自动 更 新 定义 。 除 此 之 外 ， 用 户 还 可 以 通过 手动 方式 更 新 Windows Defender 定 
义 库 。 在 “Windows Defender” 窗 口中 ， 单 击 “ 帮 助 ”按钮 旁边 的 箭头 ， 并 选择 “检查 更 新 ” 
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即 可 。 为 确保 计算 机 安全 ，Windows Defender 会 在 定义 文件 过 期 超过 七 天 未 更 新 时 通知 用 户 ， 
此 时 直接 单 击 “ 立 即 检查 更 新 ”按钮 即 可 ， 如 图 1.22 所 示 。 


[3 和 BE 


图 1.22 更 新 Windows Defender 


4. 注意 事项 

默认 情况 下 ， 服 务 器 系统 都 是 使 用 最 小 方式 安装 的 ， 所 以 Windows Defender 组 件 不 会 出 
现在 控制 面板 中 。 管 理 员 可 以 通过 “管理 服务 器 ”控制 台 ， 启 动 “添加 功能 向 导 ”， 在 “选择 
功能 ”列表 中 ， 选 中 “桌面 体验 ”组 件 并 安装 ， 如 图 1.23 所 示 。 安 装 完成 后 即 可 配置 和 使 用 


Windows Defender。 


En 


图 1.23 “选择 功能 ”对 话 杠 
1.3.3 注册 表 安 全 


注册 表 中 包含 了 Windows 系统 运行 时 所 需 的 信息 ， 例 如 ， 每 个 用 户 的 配置 文件 、 计 算 机 
上 安装 的 应 用 程序 及 其 设置 、 系 统 上 存在 哪些 硬件 以 及 正在 使 用 哪些 端口 等 。 因 此 , 注册 表 作 
为 Windows 系统 中 重要 的 配置 文件 ， 对 系统 安全 起 着 决定 性 的 作用 。 
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1. 禁止 注册 表 远 程 访问 

Windows Server 2008 在 默认 安装 时 启用 了 人 允许 远程 访问 注册 表 。 需 要 注意 的 是 ， 系 统 服 
务 的 启动 、ACL 权限 的 修改 、 用 户 名 的 建立 等 信息 ， 都 可 以 在 注册 表 中 完成 ， 因 此 开启 此 功 
能 将 会 对 系统 安全 带 来 极 大 的 隐患 ， 必 须 严格 禁止 使 用 远程 注册 表 访 问 功能 。 该 安全 设置 确定 
在 网 络 上 可 访问 哪些 注册 表 路 径 和 子路 径 ， 无 论 注册 表 项 winreg 的 访问 控制 列表 中 列 出 的 是 
用 户 还 是 组 。 


@ 1 打开 组 策略 控制 合 ,依次 展开 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “本地 策略 ”一 “ 安 
全 选项 ” 显示 如 图 1.24 所 示 窗 口 。 
0 2 在 右 仙 的 策略 窗口 中 ， 双 击 “网 络 访问 ,可 远程 访问 的 注册 表 路 径 和 子路 径 ”策略 ， 显 示 如 图 1.25 所 
示 “ 网 络 访问 ， 可 远程 访问 的 注册 表 路 径 和 子路 径 属性 ”对 话 框 。 删 除 列表 框 的 所 有 数据 ， 最 后 单 击 
“确定 ”按钮 即 可 。 


本 地 尖 史 放置 | 说 明 | 
网 沪 间 ， 可 到 程 济 j8 注 册 过 和 色 和 子 路 全 
EE 
FEEL EE 
加 不 地 + 机 浙 科 
量子 计 Eb 和 

王国 基线 


RR 
PR 
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Li [mi 


图 1.25 “网 络 访问 : 可 远程 访问 的 注册 表 
路 径 和 子路 发 属性 ”对 话 杠 


图 1.24 “本 地 组 策略 编辑 器 ”窗口 


03 双击 “网 络 访问 ， 可 远程 访问 的 注册 表 路 径 ” 策 
略 ， 显 示 如 图 1.26 所 示 “ 网 络 访问 ， 可 远程 访问 的 注 有 man maomsue 
册 表 路 径 属性 ”对 话 框 。 


04 删除 文本 框 的 所 有 数据 ， 然 后 单 击 “ 确 定 ”按钮 
即 可 。 


提示 ”编辑 注册 表 不 当 可 能 会 严重 损坏 系 
A 统 。 在 更 改 注 册 表 之 前 ， 应 备份 计 
算 机 上 任何 有 价值 的 数据 。 


| 
图 1.26 “网 络 访问 : 可 远程 访问 的 注册 表 
路 径 属性 ”对 话 框 
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2. 注册 表 安 全 设置 
Windows Server 2008 系统 注册 表 中 常用 的 安全 设置 包括 如 下 几 项 。 
(1 ) 隐藏 重要 文件 /目录 可 以 修改 注册 表 实 现 完 全 隐藏 


在 注册 表 项 HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows\Current-Version\ 
ExplorerAdvanced\FolderHi-dden\SHOWALL 中 ， 右 击 “CheckedValue”， 选 择 快捷 菜单 中 的 
“修改 ”选项 ， 把 数值 由 1 改 为 0。 


(2) 对 匿名 连接 的 额外 限制 
没有 显示 的 匿名 权限 就 没有 办 法 访问 ， 在 注册 表 HKEY_LOCAL _MACHINE\System\ 
CurrentControlSet\ControlLsa 下 修改 “restrictanonymous” 为 2。 
(3 ) 关闭 默认 的 根 目录 和 管理 共享 


去 除 Windows 安装 后 生成 的 默认 共享 。 在 注册 表 HKEY_LOCAL _MACHINE\System\ 
CurrentControlSet\Services\Lanmanserver\Parameters 添加 DWORD 值 autosharews 为 0 ， 以 及 


autoshareserver 为 0。 


(4) 禁止 Guest 用 户 访问 日 志 

取消 来 宾 账号 机 器 同 组 账号 访问 日 志 的 权利 。 分 别 将 在 HKEY_LOCAL MACHINE' 
System\CurrentControlSet\Services\EventLog 下 3 个 子 键 Application、Security、System 下 面 的 
RestrictGuestAccess 值 该 为 1 即 可 。 


(5) 禁止 显示 上 次 登录 的 用 户 名 

防止 在 登录 界面 上 泄漏 账号 信息 。 在 注册 表 HKEY_LOCAL _MACHINE\Software\ 
Microsoft\Windows NT\CurrentVersion\Winlogon 下 面 修改 Dontdisplaylastusername 为 1 即 可 。 

(6) 禁用 文件 名 创建 


取消 Windows Server 2008 和 Windows Server 2003 为 兼容 以 前 微软 文件 名 命名 方式 带 来 的 
性 能 损失 。 在 注册 表 HKEY_LOCAL MACHINE\System\CurrentControlSet\Control\FileSystem 
下 面 设置 Ntfsdisable8dot3namecreation 为 1 即 可 。 


(7) 禁用 无 用 的 子 系 统 
取消 因为 使 用 例如 dos、win16、os/2、posix、 应 用 系统 下 的 程序 子 系统 可 能 带 来 的 隐患。 


和 修改 HKEY LOCAL MACHINE\System\CurrentControlSet\Control\SessionManager\ 
Subsystems 键 下 的 Optional 的 值 为 “0000”; 

@ 删除 同一 子 键 下 的 082、posix 项 ， 同 时 删除 HKEY LOCAL MACHINE\System\ 
CurrentControlSet\Control\Wwow 下 的 子 键 ; 

到 删除 HKEY LOCAL MACHINE\System\CurrentControlSet\Control\Session Manager\ 
environment 下 的 OS2libpath 项 ; 
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和 删除 HKEY_LOCAL MACHINE\Software\Microsoft\os/2 Subsystem for nt 下 的 所 有 子 键 。 
(8) 不 支持 IGMP 协议 


在 注册 表 HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 的 子 
项 下 ， 新 建 DWORD 值 ， 名 为 IGMPLevel 值 为 0 即 可 。 


(9) 防止 ICMP 重 定向 报 文 的 攻击 


在 注册 表 HKEY_LOCAL MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 的 子 
项 下 ,将 EnableICMPRedirects 值 设 为 0 即 可 。 


(10 ) 修改 终端 服务 端口 


在 注册 表 的 第 一 处 位 置 ， 在 HREY _ LOCAL MACHINE\SYSTEM\CurrentControlSet\ 
Control\TerminalServer\Wds\rdpwd\Tds\tcp 的 子 项 下 ， 在 右边 的 PortNumber 键 值 下 ， 在 十 进 制 
状态 下 改 成 需要 变更 的 端口 号 只 要 不 与 其 他 冲突 即 可 。 

第 二 处 位 置 ， 在 HKEY LOCAL MACHINE\SYSTEM\CurrentControlSet\Control\Terminal 
Server\WinStations\RDP-Tcp 方法 同上 ， 需 要 注意 的 是 ， 设 置 的 端口 号 必须 与 前 面 的 值 相同 。 

(11) 保护 系统 不 守 一 定 的 拒绝 服务 攻击 

防备 SYN 泛滥 攻击 ， 在 HKEY_LOCAL MACHINE\System\CurrentControlSet\Services\ 

Tcpip\parameters 键 下 分 别 添加 : 


@ DWORD 值 SynAttackprotect 为 2; 
@ Tcpmaxhalfopen 值 为 100; 

里 Tcpmaxhalfopenedretried 的 值 为 80; 
和 Tcpmaxportsexhausted 的 值 为 5。 


(12 ) 加 强 防备 拒绝 服务 攻击 
终止 半 开 放 的 TCP 连接 ， 可 在 上 面 同一 键 下 添加 Tepmaxconnectreponseretransmissions 为 3。 
(13 ) TCP 空 连接 计数 器 
可 以 防止 死 连接 消耗 资源 ， 可 以 尽快 结束 死 连接 ， 在 HKEY_ LOCAL MACHINE\System\ 
CurrentControlSet\Services\Tcpip\parameters 键 下 添加 DWORD 值 Keepalivetime 为 300000， 该 
计算 单位 为 毫秒 ， 即 5 分 钟 。 
(14 ) 不 轻易 改变 MTU 的 值 (最 大 传输 单元 ) 


防止 Windows Server 2008 和 Windows Server 2003 自动 执行 的 MTU 探索 被 恶意 用 户 利 
导致 系统 采用 极 小 MTU 值 从 而 增强 资源 消耗 的 拒绝 服务 攻击 ， 可 在 同一 键 值 下 面 添加 
DWORD 值 Enablepmtudicovery 为 0。 


(15) 禁用 也 路 由 
防止 恶意 用 户 利用 非法 覆盖 正常 路 由 选择 ， 应 该 在 HKEY_LOCAL MACHINE\System\ 
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CurrentControlSet\Services\Tcpip\parameters 键 下 添加 DWORD 值 DisableIPsourcerouting 为 各 
(16) 禁用 ICMP 转向 


防止 恶意 用 户 利用 来 改变 Windows Server 2008 Windows Server 2003 或 路 由 表 以 响应 网 络 
设备 发 送 给 它 的 ICMP 重 定向 消息 ， 应 该 在 HKEY_LOCAL MACHINE\System\CurrentControlSet\ 
Services\Tcpip\parameters 键 下 修改 EnableICMPredirect 值 为 0。 

(17) 禁止 光盘 自动 启动 
防止 恶意 用 户 利用 此 手段 访问 系统 ， 在 HKEY_USERS\.DEFAULT\Software\Microsoft\ 


Windows\CurrentVersion\Policies\Explorer 下 设置 “Nodrivetypeautorun ”为 149。 该 设置 仅 适用 
于 Windows XP\Vista\2003， 不 适用 于 Windows Server 2008 系统 。 


(18) 只 有 本 地 用 户 才 可 以 访问 软盘 


防止 恶意 用 户 利用 此 方法 访问 系统 ， 修 改 HKEY_LOCAL MACHINE\Software\Microsoft\ 
Windows NT\CurrentVersion\Winlogon 下 的 “allocatefloppyes” 值 为 1。 


(19 ) 只 有 本 地 登录 的 用 户 才 能 访问 CDROM 
防止 恶意 用 户 利用 此 手段 访问 系统 ， 修 改 同一 键 下 的 “allocatecdroms” 值 为 1。 
(20 ) 在 关机 时 清理 虚拟 内 存 页 面 交换 文件 


防止 虚拟 内 存 页 面 交换 文件 泄漏 可 用 的 信息 ， 修 改 HREY_ LOCAL MACHINE\System\ 
CurrentControlSet\Control\SessionManagenMemory management 键 下 的 “clearpagefileatshutdown” 值 为 1。 


1.3.4 实现 系统 服务 安全 


任何 网 络 服务 的 安装 的 提供 都 是 建立 在 系统 服务 的 基础 上 的 , 因此 做 好 系统 服务 安全 是 系 
统 安 全 和 网 络 安全 的 重要 环节 。 任 何 服务 都 可 能 存在 漏洞 ， 但 也 不 能 “ 因 嘻 废 食 ”， 最 佳 方案 
就 是 通过 一 切 可 行 方法 ， 确 保 系统 服务 的 安全 ， 如 禁用 非 必要 服务 、 设 置 服务 访问 权限 等 。 

1. 系统 服务 配置 注意 事项 

配置 系统 服务 时 应 注意 以 下 事项 : 


里 根据 服务 的 描述 以 及 业务 的 需求 ， 确 定 是 否 使 用 此 服务 ; 

里 具体 每 个 服务 的 内 容 和 功能 ， 请 参考 微软 的 说 明和 咨询 业内 安全 专家 ; 

于 禁止 或 者 设置 成 手动 启动 的 方式 处 理 系统 非 必须 的 服务 ; 

里 如 对 系统 可 能 造成 的 影响 不 了 解 , 在 测试 环境 中 测试 验证 通过 以 后 , 再 在 应 用 环境 中 部 团 ; 
于 对 于 安装 应 用 程序 同步 安装 的 服务 ， 如 无 必要 ， 应 将 其 关闭 。 
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依次 选择 “开始 ”一 “管理 工具 ”一 “ 服 
务 ” 命 令 ， 打开“ 服务 ”控制 台 窗 口 ， 显 示 
本 地 计算 机 中 所 有 的 服务 ， 显 示 如 图 1.27 所 
示 结 果 。 

系统 服务 的 处 理 不 同 于 其 他 设置 ， 因 为 所 
有 服务 的 漏洞 、 对 策 及 潜在 影响 在 本 质 上 都 一 
样 。 安 装 Windows Server 2008 操作 系统 时 ， 系 
统 将 在 启动 时 创建 并 配置 默认 服务 。 有 些 服务 
在 组 织 环境 中 并 不 需要 , 但 仍 在 Windows 中 被 
启用 ， 来 确保 应 用 程序 或 客户 端 兼 容 或 辅助 进 ” 三 


要 
国 国 让 让 二 二 二 二 二 二 二 下 二 二 二 二 二 让 二 下 二 二 


AAS 


行 系统 管理 。 图 1.27 默认 安装 的 服务 列表 
提示 。Windows Server 2008 系统 中 的 “服务 ”管理 工具 ， 与 Windows Server 2003 系统 基 
\ 滋 本 相同 。 
2. 服务 


服务 仅 在 登录 到 某 一 帐户 的 情况 下 才能 访问 操作 系统 中 的 资源 和 对 象 ,大 多 数 的 服务 都 不 
更 改 默认 的 登录 帐户 , 更 改 默认 帐户 可 能 导致 服务 失败 。 如 果 选 定 帐户 没有 登录 计算 机 服务 的 
权限 ，Microsoft 管理 控制 台 的 服务 管理 单元 将 自动 为 该 帐户 授予 登录 服务 的 用 户 权 限 ， 但 并 
不 一 定 会 启动 服务 。Windows Server 2008 与 Windows Server 2003 相同 ， 系 统 包括 3 个 内 置 的 
本 地 帐户 ， 分 别 用 作 各 系统 服务 的 登录 帐户 。 


(1) 本 地 系统 帐户 


本 地 系统 帐户 功能 强大 ， 它 可 对 本 地 系统 进行 完全 访问 ， 并 为 网 络 中 的 计算 机 提供 服务 。 
有 些 服 务 的 默认 配置 使 用 的 是 “本 地 系统 ”帐户 ， 则 不 需要 更 改 默 认 服务 设置 。 本 地 系统 帐户 
名 称 是 LocalSystem， 没 有 密码 设置 。 

(2) 本 地 服务 帐户 

本 地 服务 帐户 是 一 种 特殊 的 内 置 帐户 , 类 似 于 经 过 身份 验证 的 用 户 帐 户 。 就 访问 的 资源 的 
对 象 而 言 ,“ 本 地 服务 ”帐户 与 “Users” 组 成 员 权限 等 同 。 这 种 限制 性 访问 有 助 于 在 个 别 服务 
或 进程 受 损 时 保障 系统 安全 ， 以 “本 地 服务 ”帐户 运行 的 服务 使 用 有 匿名 凭据 的 空 会 话 来 访问 
网 络 资源 。 帐 户 名 称 为 NTAUTHORITY\LocalService， 该 帐户 没有 密码 。 

(3 ) 网 络 服务 帐户 

网 络 服务 帐户 也 是 一 种 特殊 的 内 置 帐户 , 类 似 于 经 身份 验证 的 用 户 帐户 。 就 访问 的 资源 的 
对 象 而 言 ,“ 网 络 服务 ”帐户 与 “Users” 组 成 员 权限 等 同 。 这 种 限制 性 访问 有 助 于 在 个 别 服务 
或 进程 受 损 时 保障 系统 安全 ， 以 “网 络 服务 ” 帐户 运行 的 服务 可 使 用 计算 机 帐户 的 凭据 来 访问 
网 络 资源 。 帐 户 名 称 为 NTAUTHORITY\NetworkService， 该 帐户 没有 密码 。 
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注意 ”如果 更 改 默认 服务 设置 ， 重 要 的 服务 可 能 无 法 正常 运行 。 最 重要 的 是 ， 更 改 启动 类 
C9 型 一 定 要 谨慎 ， 要 使 用 配置 了 自动 启动 服务 的 设置 来 登录 。 


3. 漏洞 
任何 服务 或 应 用 程序 都 是 潜在 的 攻击 点 , 因此 , 必须 禁用 或 删除 系统 环境 中 不 需要 的 服务 
或 可 执行 文件 ， 或 者 直接 删除 闲置 的 网 络 服务 。 


注意 ”如果 启用 附加 服务 , 则 会 因 依赖 关系 而 要 求 同 时 启动 其 他 服务 。 首 先 明确 在 组 织 中 
得 执行 任务 的 服务 器 角色 ， 然 后 将 特定 服务 器 角色 所 必需 的 所 有 服务 添加 到 策略 中 。 


4. 对 策 

系统 服务 中 的 “策略 ”可 以 有 以 下 4 种 设置 方式 : 
四 自动 ; 

和 手动 ; 

禁用 ，; 

四 未 定义 。 


对 于 所 有 不 必要 的 服务 应 当 禁用 。 此 外 , 还 可 通过 配置 用 户 定义 帐户 列表 的 访问 控制 列表 
(ACL)， 编 辑 服务 安全 性 。 

5. 潜在 影响 

虽然 禁用 不 必要 的 服务 可 以 减少 系统 资源 的 占用 以 及 系统 漏洞 ， 但 有 些 服务 〈 如 Security 
Accounts Manager) 禁用 后 将 导致 系统 无 法 引导 ， 禁 用 一 些 关键 服务 可 能 使 计算 机 无 法 通过 域 
控制 器 的 身份 验证 。 因 此 ， 为 安全 起 见 ， 在 禁用 系统 服务 前 应 先 在 测试 环境 中 测试 。 

注意 管理 员 还 可 以 选择 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “系统 

得 服务 ”选项 ， 在 打开 的 “组 策略 对 象 编辑 器 ”中 配置 “系统 服务 ”设置 。 


小 结 


Windows Server 2008 在 安装 配置 过 程 中 用 户 需 注意 安全 性 和 易 用 性 之 间 的 矛盾 ， 根 据 实 
际 需求 设置 适当 的 安全 级 别 即 可 。 在 安装 过 程 中 , 无 需 设置 计算 机 名 、 网 络 连接 等 信息 ， 只 要 
在 安装 完成 后 进行 初始 配置 即 可 。 在 不 同 的 使 用 环境 下 ，Windows Server 2008 系统 表现 出 来 
的 安全 防范 能 力 是 不 一 样 的 , 甚至 该 系统 在 某 些 方面 没有 一 点 安全 抵抗 能 力 , 这 就 需要 手动 来 
保护 Windows Server 2008 系统 的 运行 安全 。 
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.Windows Server 2008 有 哪些 版 本 ? 

. 与 以 前 的 版 本 相 比 ，Windows Server 2008 有 哪些 新 特性 ? 
. 在 安装 Windows Server 2008 前 要 作 什 么 准备 ? 

. 如 何 对 Windows Server 2008 进行 初始 配置 ? 

.如何 对 Windows Server 2008 进行 安全 配置 ? 


上 mm PP 一 


实验 : Windows Server 2008 基本 安全 配置 


实验 目的 

掌握 Windows Server 2008 的 初始 配置 。 

实验 内 容 

为 全 新 安装 完成 的 Windows Server 2008 系统 ， 设 置 卫 地 址 、 主 机 名 等 基本 信息 ， 并 启用 
Windows 防火 墙 、 自 动 更 新 和 Windows Defender。 

实验 步骤 

1. 使 用 光盘 安装 Windows Server 2008。 

2. 设置 IP 地 址 和 主机 名 。 


3. 启用 Windows Update 和 Windows 防火 墙 。 
4. 配置 Windows Defender， 升 级 定义 库 并 实施 快速 扫描 。 
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Windows Server 2008 用 户 
环境 安全 设置 


每 个 用 户 使 用 计算 机 的 习惯 有 所 不 同 ,例如 设置 个 性 化 桌面 ` 系 统 主题 等 ， 
当 登录 到 其 他 计算 机 时 , 为 了 便于 使 用 还 需要 再 次 进行 设置 , 非常 麻烦 。 另外， 
如 果 用 户 网 络 安全 意识 不 高 ， 不 正确 的 系统 设置 还 可 能 导致 系统 漏洞 的 产生 。 
在 Windows 域 网 络 中 ， 管 理 员 可 以 对 用 户 帐户 的 配置 文件 进行 设置 ， 使 用 户 
在 网 络 中 任何 计算 机 上 登录 时 都 可 以 自动 下 载 到 自己 的 配置 文件 , 免 去 重新 设 
置 工作 环境 的 操作 。 


本 章 导读 


轩 ”用户 环境 设置 
晶 IE 浏览 器 安全 设置 


Ry 
属 Windows Server 2008 系统 安全 管理 实战 指南 


2.1 ”用户 环境 设置 


用 户 工作 环境 就 是 用 户 桌 面 上 所 出 现 的 内 容 ,包括 桌面 的 设置 、 应 用 程序 的 设置 、 文 件 夹 
设置 、 磁 盘 配 额 设置 等 。Windows Server 2008 安装 完成 后 ， 管 理 员 需要 重新 对 系统 进行 配置 ， 
从 而 提高 系统 的 安全 性 和 适用 性 。 


2.1.1 ”用户 配置 文件 设置 


通过 “用 户 配置 文件 ”可 以 设置 用 户 的 工作 环境 ， 以 便 用 户 每 次 登录 时 ， 都 可 以 有 相同 的 工 
作 环 境 ， 如 相同 的 桌面 设置 、 相 同 的 网 络 连接 和 网 络 打印 机 等 。 只 要 拥有 足够 的 操作 权限 ， 任 何 
用 户 配 置 文件 都 是 可 以 重新 设置 的 。 由 于 每 一 种 类 型 的 用 户 配置 文件 都 有 其 特殊 的 适用 环境 ， 因 
此 必须 掌握 不 同 用 户 文件 的 配置 方法 ， 才 可 以 灵活 运用 于 网 络 管理 中 ， 实 现 快速 统一 部 署 。 


1. 用 户 配置 文件 的 类 型 
根据 用 户 配置 文件 应 用 工作 环境 的 不 同 ， 可 以 分 为 如 下 几 种 类 型 : 


于 本 地 用 户 配置 文件 第 一 次 登录 到 计算 机 时 , 将 创建 本 地 用 户 配置 文件 , 并 存储 在 计算 
机 的 本 地 硬盘 上 。 对 本 地 用 户 配置 文件 所 做 的 任何 更 改 都 只 是 针对 用 户 所 在 的 计算 机 ; 

里 漫游 用 户 配置 文件 ”漫游 用 户 配置 文件 由 系统 管理 员 创 建 ,通常 存储 在 服务 器 上 。 每 次 
登录 到 网 络 上 的 任何 一 台 计 算 机 时 , 都 可 以 使 用 该 配置 文件 。 对 漫游 用 户 配置 文件 所 做 
的 更 改 将 在 服务 器 上 更 新 ; 

@ 强制 用 户 配置 文件 此 文件 是 用 来 为 个 人 或 整个 用 户 组 指定 特殊 设置 的 漫游 配置 文件 。 
只 有 系统 管理 员 才能 更 改 强制 用 户 配置 文件 ; 

于 临时 用 户 配 置 文件 当 因 错 误 而 无 法 加 载 用 户 配置 文件 时 ,所 发 布 的 临时 配置 文件 。 每 
次 会 话 结束 时 会 删除 临时 配置 文件 。 当 用 户 注销 时 , 将 丢失 用 户 对 其 桌面 设置 和 文件 所 
做 的 更 改 。 


2. 用 户 配 置 文件 的 内 容 


用 户 配置 文件 并 不 是 单纯 的 某 个 文件 ， 默 认 用 户 配 置 文件 中 的 NTuserdat 文件 包含 了 
Windows Server 2008 家 族 的 配置 设置 每 个 用 户 配置 文件 还 要 使 用 包含 在 All Users 文件 夹 中 
的 公用 程序 组 。 总 体 而 言 ， 用 户 配置 文件 由 以 下 3 部 分 组 成 ; 

用 户 配置 文件 文件 夹 ; 

和 Ntuser.dat 文件 ; 

里 All Users 文件 夹 。 
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3. 查看 本 地 用 户 配置 文件 


当 用 户 第 一 次 登录 某 台 计算 机 时 ， 系 统 会 自动 为 这 个 用 户 在 该 计算 机 上 创建 一 个 “本 地 上 
户 配置 文件 ”在 运行 支持 多 用 户 Windows 操作 系统 的 计算 机 上 , 往往 包含 多 个 本 地 用 户 配置 
文件 。 其实， 本 地 用 户 配置 文件 都 是 由 默认 的 用 户 配 置 文件 复制 而 来 的 。 当 用 户 注销 、 关 机 或 
重启 时 ,用 户 的 任何 设置 更 改 都 将 存储 到 该 用 户 的 本 地 用 户 配 置 文件 而 不 会 影响 到 其 他 用 户 幅 
户 的 本 地 用 户 配置 文件 。 


各- 展 到 宁 | 
文件 四 ”往生 中 查看 W 工具 C) 帮助 加 
_ 习 
从 查看 有 关 计算 机 的 基本 信息 
Ci 
EE 
风琴 统 时 内 
各 一 一 一 一 一 一 一 一 一 一 一 一 
多量 I Pentin ®] Dea cm 
内 在 QA) 
天 22 位 找 作 和 绩 
计算 有 和、 二 和 工作 组 设 
计划 Wi 名 hp 
计算 机 全 名 YDPXEIJDWAVLC 
计 基 机 扫 壕 
网 工人 组 voce 是 
Windovs Vrdute(U) Windwws 激 知 


i EE Visdms a 
图 2.1 “系统 控制 面板 ”窗口 


2 单 击 “ 高 级 系统 设置 ” 超 链 接 ， 显 示 “ 系 统 属性 ”对 话 框 。 单 击 用 户 配 置 文件 文本 域 中 的 “设置 ”按钮 ， 
显示 如 图 2.2 所 示 “ 用 户 配置 文件 ”对 话 框 ， 即 可 查看 这 合计 算 机 内 的 用 户 配置 文件 。 

系统 属性 x| 

计 基 机 名 | 三 件 。 高 如 一 | 运程 | 


用 户 配置 文件 X| 


证 了 消 mia) 
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4. 漫游 用 户 配置 文件 


如 果 用 户 希望 在 网 络 上 的 任何 一 台 计算 机 上 登录 时 都 使 用 相同 的 用 户 配 置 文件 , 即 相 同 的 
工作 环境 ， 可 以 通过 域 控制 器 上 的 “漫游 用 户 配置 文件 ”来 实现 。 当 用 户 注销 、 关 机 或 重启 时 ， 
其 环境 的 更 改 会 自动 存储 到 域 控制 器 上 的 漫游 用 户 配置 文件 内 ,因此 用 户 再 次 登录 时 就 会 以 这 
个 更 新 过 的 用 户 配 置 文件 为 工作 环境 。 

(1) 设置 漫游 用 户 配置 文件 

设置 漫游 用 户 配置 文件 , 首先 要 在 域 控 制 器 上 建立 共享 目录 , 然后 在 共享 目下 建立 存放 该 


漫游 用 户 配置 文件 的 文件 夹 。 当 该 用 户 首次 登录 到 域 时 , 会 在 该 文件 夹 内 自动 生成 一 个 空 的 漫 
游 用 户 配 置 文件 。 


和 1 以 管理 员 权限 的 帐户 登录 到 计算 机 ,本 地 磁盘 上 新 建 一 个 文件 夹 , 并 命名 为 “company”。 右 击 company 
文件 夹 ， 在 快捷 菜单 中 选择 “共享 ”命令 ， 显 示 “ 文 件 共享 ”对 话 框 。 在 “选择 要 与 其 共享 的 网 络 上 的 
用 户 ” 下 拉 列 表 中 选择 Everyone 选项 ， 单 击 “添加 ”按钮 ， 并 在 “权限 级 别 ” 下 拉 菜单 中 ， 将 权限 设 
置 为 “共有 者 ” 显示 如 图 2.3 所 示 结 果 。 单 击 “ 共 享 ”按钮 ， 完 成 共享 文件 来 设置 。 

0 2 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”命令 ， 打 开 “Active Directory 用 户 
和 计算 机 ”窗口 。 右 击 Users 中 的 帐户 zhangsan， 在 快捷 菜单 中 选择 “属性 ”命令 ， 打 开 如 图 2.4 所 
示 “zhangsan 属性 ”对 话 框 。 


如 ox TIE 4 
| | 远程 控 币 | 各 多 | co， 
© nx | 
Fm 


| 


SO 
广 -一 
三 me 
了 Windows 中 训 tT 六 法 
Pasm | a | 
图 2.3 “权限 设置 ”对 话 杠 人 


3 切换 至 “配置 文件 ”选项 卡 ， 在 “配置 文件 路 4 用 zhangsan 用 户 名 登录 可 以 看 到 服务 器 
径 ” 文 本 框 中 输入 存储 zhangsan 配置 文件 的 UNC ”company 文件 夹 下 有 一 个 zhangsan 文件 夹 ， 显 示 
路 径 (网 络 路 径 ) \WIN-HKSLEYF2MMT\company\ 如 图 2.6 所 示 结 果 。 

zhangsan (其 中 WIN-HKSLEYF2MMT 为 服务 器 名 

称 , company 为 存放 该 漫游 用 户 配置 文件 的 文件 夹 ， 

zhangsan 为 漫游 用 户 配置 文件 的 文件 夹 名 称 ， 该 文 

件 来 系统 会 自动 创建 )。 完 成 后 ， 单 击 “ 确 定 ”按钮 ， 

显示 如 图 2.5 所 示 结果 。 
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谈 入 | 于 六 | 会 话 。 | 远 各 控制 | 终 训 服务 琶 要 文 半 | cum | 
常规 | 地址。 | 帐户 。 本 加 和 | 电话 | 单位 | 和 | 


| 
er 
ED): | 


.7 (CO S22 
TD: gun 文件 中” 纺 昌 四 ”要 要 ”工具 中 部 助 0 
组” 完 视 图 ~ [2 
rr | -| 全 日期 | .| 类 型 | -| 大 小 |- 
固 x 攻 i 
下 旷 头 
办 到 
加 明理 光 
阳 拱 索 
人 用 
CE | Mw | 珊 | 文 夹 ~ 
图 2.5 “zhangsan 属性 ”对 话 框 图 2.6 “zhangsan 的 漫游 用 户 配置 文件 夹 ” 


(2) 复制 和 指定 漫游 用 户 配置 文件 


管理 员 可 以 复制 漫游 用 户 配置 文件 并 指定 给 其 他 用 户 使 用 。 以 zhangsan 用 户 帐 户 为 例 ， 
将 其 复制 漫游 配置 文件 复制 到 \WIN-XPIJDUXAVLC\private\zhangsan 下 。 


0 十 以 管理 员 身份 登陆 域 控制 器 ， 选 择 “开始 ”一 “控制 面板 ”一 “系统 ”一 “高 级 系统 设置 ”命令 ， 显 示 
“系统 属性 ”对 话 框 。 切 换 至 “高 级 ”选项 卡 ,“ 在 用 户 配置 ”文本 域 中 单 击 “ 设 置 ” 按 钮 ， 显 示 如 图 
2.7 所 示 “用 户 配置 文件 ”对 话 框 。 


计 MMh 各 | 硬件 高 名 | 得 | 
要 进行 大 多 到 更 下 ， 您 必须 作为 管理 员 登 录 。 


ER 可 型 CRW 四 | oD. 


要 绸 新 的 用 户 王 户 单机 此 处 。 


ES 了 测 | 5 内 [mr | 


图 2.7 更 改 用 户 配 置 文件 


四 2 选择 用 户 zhangsan， 单 击 “ 复 制 到 ” 按钮， 出现 如 图 2.8 所 示 的 “复制 到 ”对 话 框 ， 在 “将 配置 文件 
复制 到 ”文本 框 中 输入 目标 UNC 路 径 \WWIN-XPIJDUXAVLC\private\zhangsan。 
3 单 击 “更改” 按钮 ， 显 示 如 图 2.9 所 示 “Windows 安全 ”对 话 框 ， 输 入 管理 员 帐 户 及 密码 。 
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= mw | 
图 2.8 “复制 到 ”对 话 框 2.9 “Windows 安全 ”对 话 杠 
04 单 击 “ 确 定 ” 按钮， 显示 如 图 2.10 所 示 “ 选 择 用 户 。 Ey 本 
或 组 ”对 话 框 ， 在 “输入 要 选择 的 对 象 名 称 ”列表 中 ， 有 
输入 zhangsan， 或 者 单 击 “ 高 级 ”按钮 ， 以 查找 的 方式 时 
选择 该 用 户 帐户 。 的 入 要 过 反 9jid 和 名 称 0) 加); 
检查 名 称 
05 单 击 “ 确 定 " 按钮 ， 返 回 “ 复 制 到 ”对话 框 。 继 续 ee 
单 击 “ 确 定 ” 按 钮 保存 设置 。 LD 迪 | 是 || 


(3 ) 强制 用 户 配 置 文件 


如 果 要 固定 用 户 的 环境 设置 时 , 管理 员 可 以 使 用 强制 用 户 配置 文件 , 而 该 用 户 无 法 更 改 自 
己 的 用 户 配置 文件 。 也 就 是 说 ， 当 用 户 登录 时 可 以 更 改 当 前 的 工作 环境 , 但 注销 、 重 启 后 ， 这 
些 更 改 不 会 被 保存 到 域 控制 器 上 的 强制 用 户 配 置 文件 内 , 再 次 登录 时 还 是 原来 的 固定 环境 。 建 
立 强制 用 户 配置 文件 的 方法 与 建立 漫游 用 户 配置 文件 的 方法 类 似 , 只 不 过 在 漫游 用 户 配置 文件 
建立 后 ， 在 服务 器 上 的 漫游 用 户 配置 文件 夹 内 将 Ntuser.dat 文件 改名 为 Ntuerman 即 可 。 


提示 “Ntuserdat 文件 是 默认 隐藏 的 ， 管 理 员 可 以 在 “工具 ”一 “文件 夹 选项 ”一 “查看 
REA 中 取消 “隐藏 受 保护 的 系统 文件 和 “显示 隐藏 的 文件 和 文件 来 ” 复 选 框 。 


2.1.2 登录 脚本 设置 


所 谓 登 录 脚 本 , 就 是 当 用 户 登 录 计 算 机 时 自动 执行 的 程序 。 登 录 脚 本 文件 通常 是 批 处 理 脚 
本 文件 、 可 执行 文件 或 利用 VB 和 Jscript 编写 的 Windows 脚本 。 管 理 员 可 以 设计 登录 脚本 来 
自动 执行 用 户 环境 的 配置 过 程 。 

1. 本 地 用 户 帐 户 登录 脚本 设置 

如 果 要 将 登录 脚本 指派 给 本 地 用 户 可 以 进行 如 下 操作 : 


1 以 管理 员 帐 户 登 录 ， 创 建 登录 脚本 ， 选 择 “开始 ”一 “运行 ”命令 ， 打 开 “ 运 行 ”对话 框 。 在 运行 对 话 
框 中 输入 “gpeditmsc” 命 令 ， 打 开 如 图 2.11 所 示 “ 本 地 组 策略 编辑 器 ”窗口 。 也 可 以 直接 在 “开始 搜 
索 ” 文 本 框 中 输入 “gpedit.msc” 命 令 ， 回 车 执行 打开 该 窗口 。 
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0 2 依次 选择 “用 户 配置 ”一 “Windows 设置 ”一 “脚本 ”选项 ， 在 右 侧 窗口 中 双击 “登录 ”选项 ， 显 示 
“登录 属性 ”对 话 框 。 单 击 “ 添 加 ”按钮 ， 显 示 如 图 2.12 所 示 “ 添 加 脚本 ”对 话 框 ， 在 “脚本 名 ” 文 
本 框 中 输入 脚本 路 径 。 


ETEETEEE 回 当 
文件 四 作风 本 站 和 人 0 有 | 


和 中 | 二 二 | 器 码 | 四 匡 


| 
. EE CJ || 


图 2.11 “本 地 组 策略 编辑 器 ”对 话 框 图 2.12 添加 脚本 
03 单 击 “ 确 定 ” 按 钮 ， 返 回 “ 登 录 属性 ”对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 生效 。 


2. 域 用 户 帐户 登录 脚本 设置 
如 果 要 将 登录 脚本 指派 给 域 用 户 帐户 (以 zhangsan 为 例 ) 可 以 进行 如 下 操作 。 


01 创建 登录 脚本 nihao.vbs， 然 后 将 其 复制 到 
Ci\WWindows\SYSVOL\domain\scripts 文件 夹 内 。 

2 选择 “开始 ”一 “管理 工具 ”一 “Active Directory | 用户 本 村 文件 

用 户 和 计算 机 ”命令 ， 在 User 组 中 双击 zhangsan， Es 
显示 “zhangsan 属性 ”对 话 框 ， 切 换 至 “配置 文件 ” 
选项 卡 ， 在 “登录 脚本 ”文本 框 中 输入 登录 脚本 
nihao.vbs， 如 图 2.13 所 示 。 

0 3 单 击 “ 确 定 ”按钮 保存 设置 即 可 。 当 zhangsan 
用 户 在 网 络 上 的 任何 一 合计 算 机 登录 时 ， 都 会 自动 运 
行 脚本 nihao.vbs， 显 示 如 图 2.14 所 示 “Windows 
Script Host” 对 话 框 。 


你 好 ! 


一 | 会 笑 “| 远程 控 制 | 好 务 本寺 文 件 | Co 
弟 规 “| 地 址 | 帐户 配置 文件 | 电话 | 单位 | RF 


CE ] ww | saw | 轴 | 


图 2.13 “zhangsan 属性 ”对 话 框 


图 2.14 “Windows Script Host” 对 话 框 


2.1.3 主 文 件 夹 设 置 
在 Windows Server 2008 中 ， 每 个 域 用 户 都 有 一 个 存储 个 人 文件 的 位 置 ， 类 似 于 我 的 文档 ,在 
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Windows Server 2008 中 则 是 以 用 户 名 为 该 文档 的 文档 名 。 该 文档 包含 在 用 户 配置 文件 内 ， 所 以 域 
用 户 若 使 用 漫游 用 户 配置 文件 ， 则 会 在 注销 、 登 录 时 花费 一 定时 间 回 存 或 下 载 该 文档 中 的 文件 。 
除了 用 户 文档 外 ，Windows Server 2008 还 提供 了 可 以 让 用 户 存储 个 人 文件 的 主 文件 夹 。 它 只 有 所 
有 者 和 Administartor 才 有 权限 访问 主 文件 来， 并 且 该 主 文件 夹 不 包含 在 用 户 配 置 文件 内 。 


1. 本 地 用 户主 文件 夹 设置 


01 以 Administrator 身份 登录 系统 ， 选 择 “开始” 一 “管理 工具 ”一 “计算 机 管理 ”命令 ， 打 开 “ 计 算 机 
管理 ”控制 合 。 依 次 选择 “本 地 用 户 和 组 ”一 “用 户 ” 选 项， 在 “用 户 组 中 ”选择 用 户 (以 zhangsan 
为 例 ) 并 双击 ， 显 示 如 图 2.15 所 示 “zhangsan 属性 ”对 话 框 。 

2 切换 至 “配置 文件 ”选项 卡 ， 在 本 地 路 径 文本 框 中 输入 主 文件 夹 的 相对 路 径 ， 显 示 如 图 2.16 所 示 结果 ， 
例如 :“D:\private\zhangsan”， 单 击 “ 确 定 ”按钮 后 ， 系 统 会 自动 创建 主 文件 夹 。 


| 江 服务 可 置 六 全。 |】 。 所 入 一 
| -二 天 
和 se -rasxt 

mFED: 
Sr BM 
拟 夺 0 | | = 一 一 一 
厂 用 户 下 次 党 录 H 须 更 次 密 碍 0) rieoecm | 
厂 用 户 不 能 更 改 记 码 ne 
厂 密码 水 不 过 期 吕 ) 
厂 帐户 已 攻 用 B) 


[sl 


CE ] mw | | | CR a | sn | wm | 


图 2.15 “zhangsan 属性 ”对 话 杠 图 2.16 “配置 文件 ”选项 卡 


注意 ”如果 主 文件 夹 位 于 NTFS 分 区 上 , 则 系统 会 自动 将 该 文件 夹 的 权限 设置 给 用 户 。 不 
要 将 主 文件 夹 建 立 在 网 络 上 的 共享 文件 夹 内 , 因为 系统 不 会 建立 该 文件 来, 也 无 法 
设置 其 权限 ， 在 网 络 连 接 失败 时 ， 主 文件 夹 也 就 不 存在 了 。 


2. 域 用 户 帐户 主 文件 来 设置 


01 以 Administrator 身份 登录 系统 ， 依 次 选择 “开始 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ” 
选项 ， 打开 “Active Directory 用 户 和 计算 机 ”窗口 。 

02 在 相应 的 组 织 单位 中 选择 用 户 (以 zhangsan 为 例 )， 双 击 “zhangsan” 用 户 ， 显 示 “zhangsan 属性 ” 
对 话 框 。 切 换 至 “配置 文件 ”选项 不， 如 果 要 设置 在 本 地 计算 机 内 ， 则 在 “本 地 路 径 ” 文 本 框 中 输入 本 地 
相对 路 径 ， 如 果 设置 在 网 络 上 的 某 合计 算 机 的 共享 文件 夹 内 ， 则 单 击 “ 连 接 ” 单 选 按 钮 ， 在 盘 符 下 拉 列 表 

中 选择 主 文件 夹 的 驱动 器 位 置 ， 在 “连接 ”文本 框 中 输入 UNC 路 径 如 

WWIN-HKSLEYF2MMT\2008\zhangsan， 显 示 如 图 2.17 所 示 结果 。 
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图 2.17 “zhangsan 属性 ”对 话 框 


3 单 击 “ 确 定 ” 按 钮 保存 设置 。 


2.1.4 重 定向 用 户 配置 文件 设置 


Windows Server 2008 系统 中 , 所 有 用 户 帐 户 的 配置 文件 都 被 保存 在 系统 分 区 中 , 包括 收藏 来、 
保存 的 游戏 、 连 接 、 视 频 、 联 系 人 。 如 果 没 有 备份 ， 那 么 当 系统 崩溃 或 重新 安装 系统 时 ， 这 些 私 
人 信息 将 全 部 丢失 。 最 好 的 方法 是 ， 将 这 些 重要 的 内 容重 定向 到 其 他 安全 的 非 系统 磁盘 上 。 


1. 重 定向 zhangsan 的 下 载 文件 来 


01 依次 打开 “计算 机 ”一 “本 地 磁盘 (C:) ”一 “用 户 ”一 “zhangsan” 文 件 夹 ， 右 击 下 载 文 件 来 选择 “ 属 
性 ”命令 ， 打 开 文件 来 属性 对 话 框 ， 切 换 至 “位 置 ”选项 卡 ， 单 击 “移动 ”按钮 ， 显 示 如 图 2.18 所 示 
“选择 一 个 目标 ”窗口 ， 选 择 一 个 安全 磁盘 或 文件 来 即 可。 

0 2 单 击 “ 选 择 文件 夹 ” 按钮， 返回“ 桌面 属性 ”对 话 框 ， 单 击 “ 确 定 ”按钮 ， 显 示 如 图 2.19 所 示 “ 移 动 

文件 夹 ”对 话 框 ， 单 击 “确定 ”按钮 即 可 完成。 
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提示 
营 用 户 帐户 只 能 重 定向 自己 的 配置 文件 ， 管 理 员 也 无 法 重 定向 其 他 用 户 配置 文件 。 


2. 重 定 向 程序 安装 目录 “Program Files” 


所 有 用 户 默认 安装 的 应 用 程序 都 装 在 C:\Program Files， 随 着 应 用 程序 的 不 断 增加 ， 此 文 
件 夹 不 仅 会 占用 大 量 的 空间 , 也 不 利于 应 用 程序 的 安全 。 通 过 修改 注册 表 将 默认 安装 目录 重 定 
向 到 其 他 磁盘 即 可 。 


0 1 打开 “注册 表 编 辑 器 ”窗口 ， 依 次 展开 HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\ 
CurrentVersion 分 支 。 在 右 侧 列表 中 双击 “ProgramFilesDir” 键 值 ， 显 示 如 图 2.20 所 示 “ 编 辑 字符 串 ” 
对 话 框 。 在 “数值 数据 ”文本 框 中 输入 更 改 后 的 路 径 。 


ENC 
S 圭 | 


| 


数值 名 称 0 

Fo erileshir 

数值 数据 0): 

roerils 
| 


Ey -== 可 
图 2.20 编辑 字符 囊 
(02 单 击 “完成 ”按钮 ， 重 启 系统 后 所 做 修改 即 可 生效 。 


过 页 


3. 重 定向 “IE 临时 文件 夹 ” | 全 用 绑 | 内 容 | 连 讼 | 程 训 | 高 员 | 
服务 器 虽 不 经 常 上 网 ， 但 偶尔 也 会 由 于 业务 需要 访 mm, 


问 Intemet， 使 用 下 浏览 器 浏览 网 页 时 ， 会 产生 一 些 临 加 
时 文件 ， 随 着 时 间 的 积累 ， 这 些 临时 文件 就 会 非常 庞大 ， nwom en tena wee 
不 仅 占用 宝贵 的 系统 分 区 空间 , 而 且 容易 留 下 安全 隐患 。 | 9 WW ee EB 

通过 将 保存 临时 文件 的 文件 夹 重 定向 到 其 他 分 区 ， 即 可 yg 于 
解决 该 问题 。 1 ES 


ER 尖 

01 打开 IE 浏览 中， 在 订单 中 选 译 “工具 ”在 订单 列表 中 选 | FE 
择 “Internet 选项 ”， 显 示 如 图 2.21 所 示 “Internet 选项 ” 一 所 80) | 证 中 | 字体 o | _ 轴 4 角 四 | 
对 话 框 。 

2 单 击 “ 常 规 ” 选 项 卡 ， 在 “Internet 临时 文件 ”区 域 中 ， 单 
击 “ 设 置 ” 按钮， 显示“ 设置 ”对 话 框 。 系 统 默认 的 临时 文 。 。 图 221 “Intemet 选 项 ”对 话 杠 
件 夹 的 位 置 为 “C:\UsersAdministratorAppData\Local\MicrosoffiWindows\Temporary Intemet Files”， 单 
击 “Intemet 临时 文件 夹 ”区 域 中 的 “移动 文件 夹 ” 按 钮 显示 “浏览 文件 夹 ”对 话 框 ， 选 择 文件 夹 的 目标 
位 置 即 可 ， 如 图 2.22 所 示 。 


了 | 
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eat 入 时 多 件 一 一 一 一 一 一 一 一 一 一 ] 
re 加 的 人 以 人 /后 | 
检查 所 存 后 达 新 和 本- 
让 
本 次 让 Interaet Explorer 时 人 ) 
6G 自动 内 
CAF 
a 
En i Ne dierosotWind | 贞 公 月 
ee pr Wi croxoft\yind 日 其 计 站 机 
日 筷 软 全 涝 二 各 0) 
移动 文件 夫 晤 .| ”查看 对 象 人 | ”查看 文件 eh ed 
日 三 号 0) 
Ww | sczrsom) 
拓 Internnt Eylorer 保存 人 请 站 各 列表 的 天 数 。 | 
| 到 
Cw ] wT 


2.22 设置 Internet 临时 文件 夹 


3 依次 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 此 时 会 提示 如 图 2.23 所 示 “ 注 销 ” 对 话 框 。 单 击 “ 是 ”按钮 ， 系 
统 自动 执行 注销 操作 。 重 新 启动 后 ，“IE 临时 文件 夹 ”生效 。 


主 销 4 
全 划 grz 净重 启动 以 完 所 时 Internet 必 5 文人 移动。 
家 也 都 已 保存 。) 


Law |] sw | 
图 2.23 “注销 ”对 话 杠 


2.2 Internet Explorer 浏览 器 安全 设置 


Windows Intermet Explorer 是 微软 公司 推出 的 一 款 网 页 浏览 器 ， 通 过 Internet Explorer 
可 以 轻松 获取 丰富 的 Internet 信息 。Internet Explorer 7 (简称 下 7) 是 目前 最 安全 的 Internet 
Explorer 版 本 ,支持 翻 页 浏览 .RSS 订阅 、 页 面 缩 放 \ 快 速 切 换 等 功能 ,以 及 具有 Anti-Phishing 
过 滤器 ( 反 网 络 钓鱼 ) 和 仿冒 网 站 筛选 等 动态 安全 ， 在 一 定 程度 上 增强 了 Internet Explorer 
的 安全 性 。 


2.2.1 安全 配置 功能 


正 7 在 正 6 的 基础 上 新 增 了 多 项 安全 功能 设置 ， 主 要 安全 配置 功能 如 下 。 
1. 防范 钓鱼 欺诈 网 站 


正 7 推 出 了 网 钓 过 滤器 , 避免 用 户 在 仿冒 的 钓鱼 欺诈 页 面 输入 个 人 的 帐户 或 密码 遭 有 心 人 
士 的 收集 和 身份 被 冒 用 。 网 钓 过 滤器 会 自动 检查 用 户 所 访问 的 网 站 , 并 与 一 致 的 网 钓 黑 名 单 进 
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行 对 比分 析 。 如 果 该 站 被 识别 出 为 钓鱼 欺诈 网 站 或 与 钓鱼 欺诈 网 站 相符 , 那么 过 滤器 就 会 显示 
警告 窗口 ， 提 示 用 户 该 网 站 被 报告 为 钓鱼 欺诈 网 站 ， 并 建议 用 户 关 闭 该 网 页 。 

2. ActiveX 的 选择 加 入 功能 

用 户 可 以 逐一 解除 每 个 网 页 内 容 “ 区 域 ” 的 ActiveX 选择 加 入 功能 。 针 对 “Intemet” 和 “ 限 
制 的 网 站 ”而 言 ， 这 项 “选择 加 入 ”功能 缺 省 为 开启 的 ， 以 提升 安全 性 , 但 对 “ 近 端 内 部 网 络 ” 
(Intranet) 与 “信任 的 网 站 ”而 言 ， 缺 省 为 关闭 的 。 

3. 跨 域 安全 

正 7 的 新 安全 机 制 会 阻止 一 种 叫 “ 跨 域 脚本 (cross-domain scripting)” 的 攻击 策略 。 为 了 
防止 恶意 代码 利用 合法 网 站 中 的 薄弱 代码 漏洞 ,IE 7 会 迫使 脚本 仅 运行 其 初始 的 安全 内 容 , 哪 
怕 它 已 被 重 定向 到 一 个 完全 不 同 的 安全 域 上 。 

4. 锁定 安全 区 域 


由 于 安全 环境 缺 省 在 更 高 层级 , IE 7 的 安全 区 域 锁 得 比 以 往 更 加 严密 , 包括 取消 非 域名 电 
脑 上 的 近 端 内 部 网 络 区 域 ， 并 且 新 的 界面 让 人 更 难 选择 低级 或 中 低级 的 安全 性 。 


5. 更 强 的 SSL/TLS 通知 与 数字 认证 信息 


IE7 的 使 用 者 可 轻易 地 判断 某 个 网 站 释放 具有 SSL/TLS 安全 性 , 并 取得 该 完整 的 数字 认证 
信息 。 若 网 站 具有 高 可 靠 度 认证 ， 浏 览 器 网 址 列 的 颜色 会 变 绿 。 


6. 隐私 保护 功能 


通过 修改 注册 表 中 的 相关 键 值 ， 即 可 阻止 HTML 获取 用 户 个 人 信息 ， 即 用 户 可 以 很 容易 地 
清除 在 网 页 中 已 经 输入 过 的 用 户 帐户 和 密码 、 临 时 文件 、 历 史记 录 、Cookies 及 其 他 个 人 信息 。 


7. 固定 地 址 栏 


IE7 中 所 有 浏览 器 窗口 均 提供 地 址 栏 ， 所 以 恶意 网 站 难以 再 通过 隐藏 该 网 站 的 URL 地 址 
达到 隐 满 用 户 的 目的 。 


8. 国际 字符 警告 


IE7 支持 国际 字符 集 ,为 了 防止 不 法 分 子 利用 不 同 语言 字符 的 相似 性 进行 欺骗 ， 每 当 用 户 
使 用 国际 字符 集 时 ， 如 果 出 现 属于 另 一 种 语言 的 字符 ， 浏 览 器 会 提醒 用 户 注意 。 


2.2.2 ”开启 仿冒 网 站 筛选 
仿冒 网 站 筛选 是 ntemet Explorer 中 一 种 帮助 检测 仿冒 网 站 的 功能 。 仿 冒 网 站 筛选 功能 前 
实现 过 程 如 下 : 
里 首先 ， 将 访问 的 网 站 地 址 与 向 Microsoft 报告 为 合法 站 点 的 站 点 列表 进行 比较 。 该 列表 
保存 在 您 的 计算 机 上 ; 
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四 其 次 ， 帮 助 分 析 访 问 的 站 点 ， 以 查看 它们 是 否 具有 仿冒 网 站 中 常见 的 特征 ; 
最 后 ， 在 用 户 同意 的 前 提 下 ， 将 一 些 网 站 地 址 发 送 给 Microsoft， 以 便 根据 频繁 更 新 的 
已 报告 仿冒 网 站 列表 进行 进一步 的 检查 。 
DE BR ene 02 hE Ra At 
命令 ， 显示 如 图 2.24 所 示 的 “Intemet 选项 ”对 话 框 。 “高 级 ”选项 卡 ， 在 “安全 ” 


图 2.25 所 示 的 

区 域 中 找到 “仿冒 网 

站 筛选 器 ”， 选 中 “打开 自动 网 站 检查 ” 单 选 按钮 。 

Internet 选项 L3 引 zj Internet 选项 

亲 | 去 全 | 启 有 |W | 这 六 | 程序 | 高 有 | 
额 


EE 


康 | 雪人 | 让 | 随 | 六 | 各 部 
谭 
FE 
回 使 用 TIF !.1 

回 通过 代理 商人 用 JCY 1 1 
安全 


四 2 者 要 全 圣 主 砍 先 项 卡 ， 请 在 各 地 址 行 刍 入 去 址 玉 ) > 


型 
借用 新 页 | 使用 踊 / 值 中 | 全 抽空 和 页 6) 
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图 2.24 “Internet 选项 ”对 话 框 


图 2.25 “高 级 ”选项 卡 


3 单 击 “ 确 定 ”按钮 显示 如 图 2.26 所 示 “ 仿 冒 网 
站 筛选 ”对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 。 3 fre 1 


图 2.26 “仿冒 网 站 筛选 ”对 话 杠 


2.2.3 管理 加 载 项 


有 些 与 正 浏览 器 配合 使 用 的 应 用 程序 ， 往 往 会 自动 嵌入 到 正 7 中 ,每 次 打开 浏览 器 ， 都 

会 自动 运行 该 程序 ， 如 搜索 工具 、 域 名 转换 工具 等 。 管 理 员 可 以 通过 禁止 其 对 应 的 加 载 项 ， 从 
而 避免 其 随 IE 7 自动 运行 

01 在 IE7 菜 单 栏 中 选择 “ 工 02 在 “显示 ”下 拉 列 表 中 选择 “Internet Explorer 
一 “启用 或 禁用 加 载 项 ”命令 ， 显 示 如 图 2.27 所 示 当前 加 载 的 加 载 项 ”， 在 下 面 文 本 框 中 显示 了 已 经 使 

“管理 加 载 项 ”对 话 框 。 用 的 加 载 项 。 选 中 不 必要 加 载 的 加 载 项 ， 在 设置 选 
项 区 域 选中 “禁用 ” 单 按钮 , 显示 如 图 2.28 所 示 “ 管 
理 加 载 项 ”提示 框 。 
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Windows 


图 2.27 “管理 加 载 项 ”对 话 框 


Windows Server 2008 提供 了 一 些 新 的 和 改进 的 安全 技术 ， 增 强 了 对 系统 的 保护 ， 为 企业 
提供 了 一 个 安全 平台 。 本 章 主 要 讲 了 Windows Server 2008 系统 下 的 用 户 环境 安全 设置 ， 包 括 
工作 环境 设置 和 IE7 安全 设置 。 用 户 所 有 的 工作 环境 信息 都 是 被 保存 在 用 户 配置 文件 中 的 , 而 
用 户 配 置 文件 根据 用 途 和 功能 不 同 又 可 以 分 为 4 种 类 型 , 分 别 是 本 地 用 户 配置 文件 、 漫游 用 户 
配置 文件 、 强 制 用户 配 置 文件 和 临时 用 户 配置 文件 。 焉 浏览 器 在 服务 器 上 虽 不 常用 ， 但 却 是 
许多 安全 漏洞 的 藏身 支持 ， 为 此 ， 管 理 员 应 从 多 方面 加 强 下 浏览 器 的 安全 设置 。 


习 题 


1. 在 Windows Server 2008 中 ， 用 户 工作 环境 有 哪些 内 容 ? 
2. IE7 具有 哪些 新 增 安全 功能 ? 
3. 如 何 对 正 7 进行 安全 设置 ? 
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实验 : 配置 用 户 工作 环境 


实验 目的 
在 Windows Server 2008 中 ， 掌 握 系统 用 户 工作 环境 的 配置 方法 。 
Windows Server 2008 安装 完成 后 ， 对 用 户 工作 环境 设置 ， 包 括 用 户 桌 面 的 设置 、 应 用 程 
序 的 设置 、 文 件 夹 设 置 、 磁 盘 配 额 设置 等 。 
实验 步骤 
设置 本 地 用 户 配置 文件 和 漫游 用 户 配 置 文件 。 
. 分 别 将 登录 脚本 指派 给 本 地 用 户 和 域 用 户 帐户 。 
. 对 本 地 用 户 和 域 用 户 帐户 设置 主 文件 夹 。 


. 重 定向 用 户 配 置 文件 设置 。 
- 为 用 户 设置 适合 的 磁盘 配额 。 


PP 一 
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修补 系统 漏洞 


系统 漏洞 是 指 应 用 软件 或 操作 系统 软件 , 在 逻辑 设计 上 的 缺陷 或 在 编写 时 
产生 的 错误 , 而 这 些 缺 陷 或 错误 有 可 能 被 非法 用 户 利用 , 并 将 木马 或 病毒 等 有 
害 程 序 安装 到 本 地 计算 机 或 者 远程 控制 计算 机 , 从 而 窃取 重要 资料 和 信息 , 其 
至 破坏 系统 。 Windows Server 2008 相对 于 其 他 版 本 的 Windows 操作 系统 而 言 ， 
安全 性 已 经 有 了 很 大 提高 , 但 几乎 每 天 都 会 有 新 的 漏洞 被 发 现 。 目前 ,及 时 安 
装 系统 更 新 是 应 对 系统 漏洞 最 有 效 的 方法 。 


本 章 导 读 


什么 是 系统 漏洞 

扫描 隐藏 的 漏洞 
漏洞 扫描 工具 MBSA 
其 他 常用 扫描 漏洞 工具 
修补 系统 漏洞 的 原则 


四 
四 
a 
四 
四 
量 微软 免费 修补 漏洞 工具 


第 3 章 修补 系统 漏洞 | 


3.1 什么 是 系统 漏洞 


客观 地 讲 ， 系 统 漏洞 是 无 法 避免 的 ， 对 于 Windows 操作 系统 而 言 ， 新 版 的 操作 系统 在 弥 
补 旧版 的 操作 系统 漏洞 同时 , 还 会 引入 一 些 新 的 漏洞 。 应 对 系统 漏洞 最 有 效 的 方法 就 是 制定 完 
善 的 修补 策略 ， 及 时 修补 漏洞 。 漏 洞 除了 系统 硬件、 软件 ) 本 身 固有 的 缺陷 之 外 ,还 包括 用 
户 的 不 正当 配置 、 管 理 以 及 制度 上 的 风险 ， 或 其 他 非 技 术 性 因素 造成 的 系统 不 安全 。 


3.1.1 漏洞 的 特性 


通常 情况 下 ， 普 通用 户 都 是 在 产品 供应 商 公布 产品 漏洞 后 ， 才 得 知 漏洞 消息 的 。 从 信息 安 
全 的 角度 看 ， 是 先 有 漏洞 和 对 漏洞 攻击 的 可 能 性 ， 后 有 补丁 出 现 。 漏 洞 是 攻击 者 所 要 攻击 的 目 
标 ,而 安装 补丁 是 对 漏洞 的 修补 过 程 。 漏洞 是 广泛 存在 的 ,不 同 的 设备 、 操 作 系 统 以 及 应 用 系 
统 都 会 存在 安全 漏洞 。 

1. 漏洞 的 时 间 局 限 性 

任何 系统 漏洞 都 是 用 户 在 不 断 地 使 用 过 程 中 被 发 现 , 随 之 系统 供应 商 采取 新 版 本 替代 旧版 
本 , 或 是 发 布 补丁 程序 等 方式 弥补 漏洞 。 随 着 旧 漏洞 的 消失 , 新 环境 下 的 新 漏洞 也 将 随 之 产生 。 
因此 ,系统 漏洞 只 是 存在 于 特定 时 间 和 环境 下 的 ， 即 只 能 针对 目标 系统 的 系统 版 本 、 其 上 运行 
的 软件 版 本 ， 以 及 服务 运行 设置 等 实际 环境 。 

2. 漏洞 的 广泛 性 

漏洞 会 影响 到 大 范围 的 软 、 硬件 设备 ， 包 括 操作 系统 本 身 及 其 支撑 软件 平台 、 网 络 客户 端 
和 服务 器 软件 、 网 络 路 由 器 和 安全 防火 墙 等 。 换言之， 在 这 些 不 同 的 软 硬 件 设备 中 ， 可 能 都 存 
在 不 同 的 系统 漏洞 问题 。 例 如 ， 不 同 种 类 的 软 、 硬 件 设备 之 间 ， 同 种 设备 的 不 同 版 本 之 间 ， 以 
及 不 同 设备 构成 的 不 同系 统 之 间 ， 同 种 系统 在 不 同 的 设置 条 件 下 ， 都 会 存在 不 同 的 安全 漏洞 。 

3. 漏洞 的 隐蔽 性 

安全 漏洞 是 最 常见 的 系统 漏洞 类 型 之 一 。 入侵 者 借助 这 些 漏洞 , 可 以 绕 过 系统 中 的 许多 安 
全 配置 ， 从 而 实现 入 侵 系 统 的 目的 。 安 全 漏洞 的 出 现 ,是 由 于 对 安全 协议 的 具体 实现 中 发 生 了 
错误 , 意外 出 现 的 非 正常 情况 。 而 在 实际 的 系统 中 ， 都 会 存在 不 同 程度 的 潜在 错误 。 因而 所 有 
系统 中 都 存在 安全 漏洞 ， 无论 这 些 漏洞 是 否 已 被 发 现 ,也 无 论 该 系统 的 安全 级 别 如 何 。 在 一 定 
程度 上 , 安全 漏洞 问题 是 存在 于 系统 本 身 的 理论 安全 级 别 上 的 。 也 就 是 说 ,并 不 是 系统 所 属 的 
安全 级 别 越 高 ， 系 统 中 所 存在 的 漏洞 就 越 少 。 

4. 漏洞 的 被 发 现 性 

漏洞 是 特定 环境 和 时 间 内 的 必然 产物 ， 只 有 发 现 后 , 才 会 被 用 来 入 侵 系 统 或 被 弥补 。 在 实 
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际 使 用 中 ,用 户 会 发 现 系统 中 存在 错误 。 入 侵 者 会 利用 其 中 的 某 些 错误 , 使 其 成 为 威胁 系统 安 
全 的 工具 , 也 就 是 常 说 的 系统 安全 漏洞 。 系 统 供应 商 发 现 后 会 尽快 发 布 针 对 这 个 漏洞 的 补丁 程 
序 ， 纠 正 这 个 错误 。 这 就 是 系统 安全 漏洞 从 被 发 现 到 被 纠正 的 一 般 过 程 。 


3.1.2 漏洞 生命 周期 


漏洞 所 造成 的 安全 问题 具备 一 定 的 时 效 性 , 也 就 是 说 每 一 个 漏洞 都 存在 一 个 和 产品 类 似 的 
生命 周期 的 概念 。 只 有 对 漏洞 生命 周期 的 概念 进行 研究 并 且 分 析出 一 定 的 规律 , 才能 达到 真正 
解决 漏洞 危害 的 目的 。 

漏洞 生命 周期 的 定义 : 漏洞 从 客观 存在 到 被 发 现 、 利 用 ， 到 大 规模 危害 和 逐渐 消失 ， 这 期 
间 存 在 一 个 生命 周期 ， 该 周期 被 称 为 漏洞 生命 周期 。 

以 “冲击 波 〈(MSBlaster)” 蠕 虫 病 毒 为 例 ， 漏 洞 生 命 周 期 的 包括 如 下 5 个 基本 阶段 。 


第 1 阶段 : 发 现 漏洞 

2003 年 7 月 16 日 ， 微 软 公 司 公布 了 MS03-026 Microsoft Windows DCOM RPC 接口 远程 
缓冲 区 溢出 漏洞 ， 该 漏洞 影响 Windows 2000、Windows XP、Windows Server 2003 系统 。 

第 2 阶段 : 弥补 漏洞 

2003 年 7 月 16 日， 微软 公司 公布 了 MS03-026 补丁 用 于 修补 该 漏洞 。 随 后 ， 在 微软 发 布 
该 漏洞 后 ， 网 络 上 有 零星 的 恶意 攻击 者 利用 该 漏洞 进行 入 侵 。 

第 3 阶段 : 利用 漏洞 的 病毒 大 肆 爆 发 

2003 年 8 月 11 日 ， 爆 发 了 利用 上 述 Windows 漏洞 的 “冲击 波 ” 蠕 虫 病毒 。 

第 4 阶段 : 病毒 出 现 变种 


2003 年 8 月 18 日 ， 出 现 了 一 个 利用 同样 原理 进行 蔓延 的 “冲击 波 清除 者 ”病毒 ， 该 蠕虫 
专门 清除 原来 的 冲击 波 病毒 ， 然 而 这 个 病毒 却 消耗 了 大 量 的 Internet 带宽 ， 导 致 Internet 性 能 
显著 下 降 。 

从 蠕虫 爆发 后 全 球 Windows 用 户 开始 安装 MS03-026 补丁 修补 该 漏洞 ， 网 络 运营 商 开始 
设法 阻止 蠕虫 蔓延 ， 计 算 机 防 病毒 厂商 加 入 蠕虫 特征 进行 查 杀 。 


第 5 阶段 : 逐渐 消失 


2004 年 1 月 ， 蠕 虫 传播 开始 明显 被 遇 制 ， 微 软 公司 估计 全 球 有 1000 万 台 主机 受到 感染 。 
从 整个 事件 开始 到 结束 ， 基 本 上 可 以 划分 为 如 下 5 个 阶段 ， 如 表 3.1 所 示 。 
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表 3.1 漏洞 的 生命 周期 


阶段 | 事件 | 摘 太 


第 一 阶段 系统 漏洞 被 发 现 , 并 发 布 | 由 于 软件 设计 者 初期 考虑 不 周 等 因素 导致 漏洞 客观 存在 , 漏洞 
安全 公告 研究 人 员 发 现 漏洞 并 报告 相关 厂商 ， 厂 商 向 用 户 发 布 安全 公 
告 ， 并 提供 升级 补丁 程序 
第 二 阶段 借助 漏洞 传播 的 病毒 开 | 攻击 者 对 安全 补丁 进行 逆向 工程 , 编写 利用 漏洞 的 攻击 程序 并 发 
CE 
补丁 程序 ， 就 会 为 蠕虫 爆发 创造 条 件 ， 此 阶段 漏洞 的 危害 较 小 
第 三 阶段 利用 漏洞 的 蠕虫 病毒 大 | 蠕虫 在 互联 网 上 或 者 局 域 网 利用 系统 漏洞 大 规模 传播 , 导致 网 
络 堵塞 或 者 瘫痪 
第 四 阶段 系统 漏洞 被 修复 , 但 仍 有 | 由 于 安装 系统 补丁 ,蠕虫 才 失 感染 目标 ,已 经 感染 的 主机 逐步 


清除 使 蠕虫 源 减少 。 少数 没有 安装 补丁 的 主机 数量 减少 , 对 网 
络 的 影响 不 大 


发 作 

第 五 阶段 。 | 漏洞 影响 逐渐 消失 ”| 一 段 时 间 过 后 ,由 于 系统 升级 或 者 完 成 系统 补丁 安装 工作 , 或 
者 使 用 新 的 软件 版 本 ， 漏 洞 造成 的 影响 逐步 消失 

3.1.3 ”漏洞 管理 流程 


绝 大 部 分 的 网 络 攻 击 都 是 借助 目标 网 络 的 漏洞 实现 的 网 络 中 的 常规 安全 设备 ,如 防火 墙 、 
入 侵 检测 系统 、UTM 等 ， 很 难 阻止 这 种 恶意 攻击 。 要 从 根本 上 解决 利用 漏洞 进行 攻击 的 问题 ， 
就 需要 对 漏洞 产生 的 原因 、 漏 洞 的 生命 周期 进行 研究 ， 同 时 配合 人 为 的 管理 模式 ， 建 立行 之 有 
效 的 管理 机 制 ， 并 通过 漏洞 管理 类 的 产品 辅助 执行 漏洞 管理 。 


1. 安全 策略 


安全 策略 是 确保 服务 器 、 网 络 设备 、 客 户 端 计算 机 以 及 网 络 安全 设备 能 够 正常 工作 的 安全 
配置 。 大 多 数 网 络 设备 都 可 以 提供 丰富 的 安全 功能 ， 并且 部 分 功能 已 经 默认 启用 , 用 户 可 以 根 
据 实际 需要 ， 制 定 更 加 详细 的 安全 策略 。 

2. 漏洞 预警 

漏洞 预警 工作 通常 由 产品 供应 商 完 成 ， 即 确保 在 发 现 漏洞 后 ， 第 一 时 间 告 知 用 户 ， 如 果 没 
有 相应 的 补丁 程序 , 还 应 给 出 临时 的 解决 方案 等 。 这 就 要 求 漏洞 管理 产品 的 厂商 应 该 有 基础 的 
漏洞 研究 、 跟 踪 以 及 提供 临时 解决 方案 的 能 力 。 

3. 漏洞 检测 

执行 检测 工作 之 前 需要 对 网 络 进行 发 现 和 跟踪 ,以便 快 速 、 准确 地 确定 产生 漏洞 的 计算 术 
或 网 络 设备 。 作 为 网 络 管理 员 , 必须 周期 性 的 对 网 络 中 的 网 络 资产 进行 检测 ， 要求 漏洞 管理 工 
具 在 保证 一 定 的 效率 的 前 提 下 ， 具 有 较 高 的 准确 性 。 
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注意 


得 并 不 是 检测 到 的 漏洞 越 多 越 好 ， 而 是 要 对 检测 的 有 效 性 进行 验证 和 分 析 。 


4. 漏洞 统计 分 析 
漏洞 检测 完成 后 , 需要 通过 具体 的 报告 和 数据 对 资产 的 风险 进行 评估 和 分 析 , 清晰 明了 地 
显示 出 漏洞 分 布 状况 、 详 细 描 述 以 及 相应 的 解决 方案 。 


注意 要 对 网 络 中 的 资产 风险 进行 分 类 ， 以 便于 对 后 续 的 汤 洞 修补 工作 进行 优先 级 区 分 。 
狗 这 一 过 程 也 可 以 通过 购买 专业 的 浙 油 管理 设备 或 者 安全 服务 来 完成 。 


5. 漏洞 修补 

通过 统计 分 析 的 结果 指定 切实 可 行 的 漏洞 修补 方案 , 并 以 合理 的 方式 通知 用 户 , 例如 通过 
自动 更 新 服务 器 来 提供 最 新 的 漏洞 修补 程序 , 用 户 可 以 按 需 下 载 , 也 可 以 由 服务 器 自动 分 发 完 
成 。 要 注意 补丁 来 源 的 合法 性 ， 以 及 补丁 的 安全 性 。 通 常情 况 下 ， 必 须 对 补丁 程序 进行 小 范围 
内 安全 性 测试 、 兼 容 性 测试 后 , 确保 补丁 不 会 影响 到 业务 系统 的 正常 运行 , 才 可 以 大 范围 分 发 。 

6. 漏洞 审计 、 跟 踪 

必须 在 网 络 中 部 署 完善 的 漏洞 审计 机 制 ， 即 对 于 新 接 入 或 启用 的 计算 机 或 网 络 设备 ， 进 行 补 
丁 状态 检测 ， 如 果 不 能 满足 安全 要 求 ， 则 拒绝 继续 访问 ， 或 通过 其 他 措施 使 其 可 以 获得 所 需 的 安 
全 补丁 。 这 个 过 程 可 以 通过 操作 系统 厂商 、 第 三 方 的 补丁 管理 软件 或 者 专业 的 安全 服务 完成 。 


7. 其 他 问题 


一 个 完善 的 漏洞 管理 机 制 能 够 有 效 地 保证 人 为 的 管理 朴 漏 不 被 攻击 者 利用 ,对 于 大 多 数 利 
用 漏洞 的 攻击 会 十 分 有 效 。 网 络 管理 人 员 在 制定 漏洞 管理 流程 的 时 候 , 要 根据 实际 情况 进行 细 
化 或 者 裁减 ， 确 保 漏洞 管理 的 高 效 、 灵 活 和 实用 。 漏 洞 管理 流程 应 该 注意 的 其 他 问题 包括 : 

工作 流程 标准 化 ; 

尽量 使 用 专业 的 、 自 动 化 的 漏洞 管理 工具 ， 尽 量 避 免 人 为 操作 ; 

四 尽量 不 要 中 断 企业 的 业务 流程 ， 保 证 业务 的 正常 运行 ; 

里 漏洞 修补 尽量 安排 在 晚上 或 者 业务 不 繁忙 的 时 候 运 行 ; 

在 测试 环境 中 模拟 测试 通过 ,在 确保 不 影响 当前 业务 的 状态 下 ,实施 漏洞 修补 工作 流程 ; 

里 针对 不 同 的 操作 系统 要 准备 不 同 的 版 本 。 


3.1.4 漏洞 修补 方略 


大 多 数 蠕虫 病毒 都 是 通过 系统 漏洞 进行 传播 的 ， 同 时 网 络 扫描 和 利用 系统 漏洞 ， 也 是 “ 黑 
客 ” 最 常用 的 攻击 手段 之 一 。 因 此 , 做 好 网 络 的 安全 保障 , 必须 做 好 漏洞 补丁 的 安装 管理 工作 。 
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对 于 个 人 用 户 而 言 , 系统 漏洞 修补 主要 是 安装 官方 网 站 发 布 的 补丁, 但 是 服务 器 或 者 网 络 中 大 
规模 部 署 补丁 , 通常 是 一 项 非常 重要 的 工作 。 安装 之 前 , 必须 先 在 实验 环境 中 进行 测试 和 分 析 ， 
然后 才 可 以 在 网 络 中 大 规模 部 署 。 


1. 环境 分 析 


用 户 只 有 真正 了 解 网 络 内 部 状况 ， 才 能 有 效 地 实施 漏洞 修补 。 例 如 ， 及 时 掌握 网 络 资产 情 
况 、 设 备 运行 状态 ， 包 括 网 络 运行 的 设备 型 号 、 厂 商 、 操 作 系统 种 类 及 版 本 等 。 同 时 还 要 了 解 
企业 的 主要 业务 系统 及 重要 的 数据 , 根据 需要 划分 其 安全 等 级 , 以 确定 补丁 的 紧急 程度 和 修补 
时 间 。 

2. 补丁 分 析 


用 户 的 计算 机 系统 信息 、 硬 件 等 的 变化 , 都 可 能 导致 无 法 正确 安装 官方 发 布 的 系统 漏洞 补 
丁 ， 甚 至 安装 后 还 会 导致 一 系列 的 问题 。 因 此 ， 部 署 之 前 一 定 要 针对 用 户 系统 环境 进行 测试 ， 
切 不 可 盲目 的 安装 补丁 ， 否 则 将 带 来 许多 意 想不到 的 问题 ， 其 中 包括 : 

导致 系统 兼容 性 出 现 问题 ， 甚 至 不 能 使 用 ; 

里 系统 崩溃 ， 无 法 正常 工作 ; 

里 部 分 功能 无 法 使 用 。 

在 得 到 补丁 以 后 ， 正 确 的 做 法 应 该 是 : 

里 在 测试 环境 中 ， 测 试 对 业务 系统 的 影响 以 及 兼容 性 ; 

至 了 解 补丁 自身 的 稳定 性 ; 

里 查看 补丁 是 否 还 存在 沁 洞 ; 

里 在 大 规模 部 署 之 前 ， 进 行 小 范围 的 短 时 间 的 联机 测试 。 

在 测试 的 过 程 中 , 应 做 好 详细 的 测试 记录 , 了 解 补丁 程序 和 与 其 相关 的 组 件 对 象 之 间 的 兼 
容 性 ， 对 原 有 系统 功能 的 影响 ， 是 否 可 以 卸载 ， 是 否 可 以 “ 回 滨 ” 等 。 

3. 分 发 安装 


对 于 网 络 用 户 而 言 ， 管 理 员 可 以 通过 组 策略 、SMS、WSUS 等 多 种 方法 ， 将 已 获得 的 系 
统 补 丁 分 发 到 客户 端 。 其 中 ，WSUS 为 微软 公司 提供 的 专用 于 补丁 更 新 的 服务 组 件 ， 可 以 根 
据 客户 端 实际 情况 ， 自 动 将 补丁 程序 分 发 到 用 户 的 计算 机 中 。 


3.2 扫描 隐藏 的 漏洞 


漏洞 扫描 是 网 络 安全 防御 中 的 一 项 重要 技术 ,其 原理 是 采用 模拟 攻击 的 形式 对 目标 可 能 
在 的 已 知 安全 漏洞 进行 逐 项 检查 。 其 目标 是 工作 站 、 服 务 器 、 交 换 机 和 数据 库 等 ， 然 后 根据 扫 
描 结 果 向 网 络 管理 员 提 供 周密 可 靠 的 安全 性 评估 分 析 报 告 , 从 而 为 提高 网 络 安全 整体 水 平 产生 
重要 依据 。 
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3.2.1 漏洞 扫描 概述 


在 网 络 安全 体系 的 建设 中 ,单机 安全 扫描 是 一 种 花费 低 、 效 果 好 、 见 效 快 、 与 网 络 运行 相 
对 独立 、 安 装运 行 简单 的 工具 ， 可 以 大 规模 减少 网 络 管理 员 的 手动 劳动 , 有 利于 保持 全 网 安全 
的 统一 和 稳定 。 

目前 , 市 场 上 有 很 多 漏洞 扫描 工具 ， 按 照 不 同 的 技术 (基于 网 络 的 、 基 于 主机 的 、 基 于 代 
理 的 、Client/Server)、 不 同 的 特征 、 不 同 的 报告 方法 ,以 及 不 同 的 监听 模式 ， 可 以 分 成 很 多 种 。 
不 同 的 产品 之 间 , 漏 洞 检测 的 准确 性 差别 较 大 ,这 就 决定 了 生成 报告 的 有 效 性 上 也 有 很 大 区 别 。 
选择 正确 的 漏洞 扫描 工具 ， 对 于 提高 系统 的 安全 性 非常 重要 。 


3.2.2 “漏洞 扫描 的 必要 性 


一 般 情况 下 , 在 网 络 边界 处 都 会 部 署 硬件 或 软件 防火 墙 。 防火 墙 作为 不 同 网 络 或 网 络 安全 
域 之 间 信 息 的 唯一 出 入 口 ， 能 根据 企业 的 安全 政策 控制 (人 允许、 拒绝 、 监 测 ) 出 入 网 络 的 信息 
流 , 且 本 身 具 有 较 强 的 抗 攻 击 能 力 。 虽然 防火 墙 是 提供 信息 安全 服务 、 实 现 网 络 和 信息 安全 的 
基础 设施 ， 但 是 ， 它 也 存在 着 一 定 的 局 限 性 。 

“外 紧 内 松 ” 是 一 般 局 域 网 络 的 特点 ,一道 严密 防守 的 防火 墙 其 内 部 的 网 络 也 有 可 能 防范 
松懈 。 


3.2.3 ”扫描 工具 的 技术 性 能 


采用 漏洞 扫描 工具 是 保护 系统 安全 的 重要 一 步 。 当 决定 使 用 漏洞 扫描 以 后 , 接 下 来 的 是 如 
何 选择 满足 企业 需要 的 合适 漏洞 扫描 软件 或 者 工具 。 

选择 扫描 工具 时 ， 应 当 注 意 以 下 几 个 方面 的 问题 : 

里 漏洞 库 中 的 漏洞 数量 ; 

里 扫描 工具 的 易 用 性 ; 

四 是 否 可 以 生成 漏洞 报告 ， 包 括 内 容 是 否 全 面 、 是 否 可 配置 、 是 否 可 定制 、 报 告 的 格式 和 

输出 方式 等 ; 

里 对 于 漏洞 修复 行为 的 分 析 和 建议 。 是 否 只 报告 存在 哪些 问题 、 是 否 会 告诉 应 该 如 何 修补 

这 些 漏洞 ; 

虽 安全 性 。 由 于 有 些 扫描 工具 不 仅仅 只 是 发 现 潮 洞 ， 而且 还 进一步 自动 利用 这 些 漏洞 , 打 

描 工 具 自 身 是 否 会 带 来 安全 风险 ; 

里 工具 性 能 及 价格 。 
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3.3 漏洞 扫描 工具 MBSA 


IMicrosoft Baseline Security Analyzer (MBSA) 工具 人 允许 用 户 扫描 一 台 或 多 台 基于 Windows 的 
计算 机 ， 以 发 现 常见 的 安全 方面 的 配置 错误 。MBSA 将 检查 操作 系统 和 已 安装 的 其 他 组 件 〈 如 : 
IS 和 SQL Server)， 从 而 发 现 安全 方面 的 配置 错误 ， 并 及 时 通过 推荐 的 安全 更 新 进行 修补 。 


3.3.1 扫描 模式 


MBSA 允许 扫描 一 台 或 者 多 台 计 算 机 : 

m 单 台 计算 机 。MBSA 最 简单 的 运行 模式 是 扫描 单 台 计 算 机 。 默 认 情 况 下 ， 将 扫描 本 地 
计算 机 ， 管 理 员 也 可 以 通过 指定 计算 机 名 或 IP 地 址 方式 ， 使 其 扫描 其 他 计算 机 。 扫 描 
远程 计算 机 时 ， 当 前 用 户 帐户 必须 拥有 目标 计算 机 的 远程 访问 权限 ; 

四 多 台 计算 机 。 如 果 选 择 “ 选 取 多 台 计 算 机 进行 扫描 ”时 ， 可 以 选择 通过 输入 域名 扫描 整 
个 域 ， 或 指定 一 个 IP 地 址 范围 并 扫描 该 范围 内 的 所 有 基于 Windows 的 计算 机 。 


注意 扫描 远程 单 台 主 机 或 其 他 网 段 的 计算 机 ,必须 使 用 具有 相关 权限 的 用 户 帐户 。 在 进 
行 “自动 扫描 ”时 ， 用 来 运行 MBSA 的 帐户 也 必须 是 管理 员 或 者 是 本 地 管理 员 组 
的 成 员 。 


3.3.2 ”扫描 类 型 


MBSA 支持 两 种 类 型 的 扫描 模式 : 

mm MBSA 典型 扫描 。MBSA 典型 扫描 将 执行 扫描 并 且 将 结果 保存 在 单独 的 XML 文件 中 ， 
这 样 就 可 以 在 MBSA 查看 器 中 进行 查看 ， 可 以 通过 MBSA GUI 方式 (mbsa.exe) 或 
MBSA 命令 行 方式 (mbsacliexe) 进行 MBSA 典型 扫描 ,扫描 内 容 包 括 所 有 可 用 的 
Windows、IIS、SQL 和 安全 更 新 检查 ， 每 次 执行 MBSA 典型 扫描 时 ， 都 会 为 每 一 台 接 
受 扫描 的 计算 机 生成 一 个 安全 报告 ， 并 保存 正在 运行 MBSA 的 计算 机 中 ; 

mm HFNetChk 典型 扫描 。HFNetChk 典型 扫描 将 只 检查 缺少 的 安全 更 新 ， 并 以 文本 的 形式 
将 扫描 结果 显示 在 命令 行 窗口 中 , 与 以 前 独立 版 本 的 HFNetChk 处 理 方法 完全 相同 ， 这 
种 类 型 的 扫描 可 以 通过 带 有 “/xmlout ”开关 参数 (指示 MBSA 工具 引擎 进行 HFNetChk 
扫描 ) 的 mbsacliexe 来 执行 。 
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3.3.3 ”查看 安全 报表 


每 次 执行 MBSA 典型 扫描 时 ， 都 会 为 每 一 台 接 受 扫 描 的 计算 机 生成 一 个 安全 报表 ， 并 保 
存在 正在 运行 MBSA 的 主机 上 。 

安全 报表 默认 的 文件 格式 为 XML。 可 以 按照 计算 机 名 、 扫 描 日 期 、IP 地 址 或 安全 评估 对 
这 些 报告 进行 排序 。 


3.3.4 网络 扫描 


MBSA 最 多 可 以 允许 从 服务 器 同时 对 10 000 台 计算 机 进行 远程 漏洞 扫描 。 在 防火 墙 或 路 
由 器 将 两 个 网 络 分 开 的 多 域 环境 中 (两 个 单独 的 Active Directory 域 )，TCP 的 139 端口 和 445 
端口 以 及 UDP 的 137 端口 和 138 端口 必须 开放 , 以 便 MBSA 连接 和 验证 所 要 扫描 的 远程 网 络 
主机 。 


3.3.5 ”操作 系统 检查 


MBSA 对 在 被 扫描 的 计算 机 中 Windows 操作 系统 进行 扫描 ， 并 检测 是 否 存在 以 下 漏洞 。 

1. 管理 员 组 成 员 权 限 

该 项 检查 将 确定 并 列 出 属于 本 地 管理 员 组 的 用 户 帐户 .如 果 检 测 出 的 单个 管理 员 帐 户 数量 
超过 两 个 , 则 该 工具 将 列 出 这 些 帐户 名 , 并 将 该 检查 标记 为 一 个 潜在 的 安全 漏洞。 一 般 情况 下 ， 
建议 将 管理 员 的 数量 保持 在 最 低 限度 ， 因 为 管理 员 对 计算 机 具有 完全 控制 权 。 

2. 审核 

该 项 检查 将 确定 在 被 扫描 的 计算 机 上 是 否 启用 了 系统 审核 功能 。Windows 系统 的 审核 特 
性 , 可 跟踪 和 记录 系统 上 的 特定 事件 , 如 成 功 的 和 失败 的 登录 尝试 。 通过 监视 系统 的 事件 日 志 ， 
可 以 发 现 潜在 的 安全 问题 和 恶意 活动 。 

3. 自动 登录 

该 项 检查 将 确定 在 被 扫描 的 计算 机 上 是 否 启用 了 “自动 登录 ” 功能， 以 及 登录 密码 是 否 在 
注册 表 中 以 密 文 方式 存储 。 如果“ 自动 登录 ” 已 启用 并 且 登 录 密 码 以 明文 形式 存储 ， 则 安全 报 
表 就 会 将 这 种 情况 作为 一 个 严重 的 安全 漏洞 反映 出 来 。 如 果 “ 自 动 登录 ”已 启用 而 且 密码 以 加 
密 形式 存储 在 注册 表 中 , 那么 安全 报表 就 会 将 这 种 情况 作为 一 个 潜在 的 安全 漏洞 标记 出 来 。 默 
认 情 况 下 ，Windows Server 2008 禁止 “自动 登录 ”。 

注意 ”如 果 扫 措 结 果 中 提示 “Error Reading Registry”( 读 取 注册 表 时 出 错 ) 消息 ， 则 表示 

鸠 远程 注册 表 服务 可 能 还 未 启用 。 
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4. 自动 更 新 


该 项 检查 将 确定 是 否 在 被 扫描 的 计算 机 上 启用 自动 更 新 功能 ， 以 及 详细 的 配置 情况 。 通 常 
情况 下 ， 用 户 可 以 通过 多 种 方式 获取 和 安装 更 新 ， 例 如 直接 访问 Windows Update 站 点 、 组 策 
略 远程 部 署 、 架 设 WSUS 服务 器 等 。 当 用 户 使 用 直接 下 载 更 新 方式 之 外 的 其 他 方式 时 ， 扫 描 
结果 中 可 能 会 出 现 相关 安全 警告 信息 ， 提 示 自 动 更 新 没有 正确 配置 ， 此 时 不 必 理 会 。 


5. 域 控制 器 


该 项 检查 将 确定 正在 接受 扫描 的 计算 机 是 否 为 域 控制 器 ， 这 主要 是 针对 Windows Server 
2003 和 Windows Server 2008 系统 而 言 的 。 在 Windows 域 网 络 中 , 域 控制 器 的 地 位 和 作用 是 非 
常 重要 的 ， 不 仅 掌管 着 所 有 网 络 资源 的 安全 访问 ， 而 且 存储 着 所 有 网 络 用 户 的 身份 验证 信息 ， 
如 果 存 在 安全 漏洞 ， 则 后 果 不 堪 设 想 。 基 于 上 述 原因 , 域 控制 器 应 该 被 视 为 需要 加 强 保护 的 关 
键 资源 。 应 确认 当前 网 络 是 否 需要 将 这 台 计 算 机 作为 域 控制 器 , 并 确认 是 否 采取 了 相应 的 步骤 
来 加 强 这 台 计 算 机 的 访问 安全 。 


6. 文件 系统 


该 项 检查 将 确定 在 每 个 分 区 使 用 的 文件 系统 类 型 。NTFS 具有 访问 控制 功能 ， 是 一 个 安全 
的 文件 系统 ， 因 此 ， 服 务 器 所 有 分 区 均 使 用 该 文件 系统 ， 如 果 使 用 FAT32 文件 系统 ， 则 扫描 
结果 中 将 报警 。 


注意 
[3 为 了 使 该 检查 成 功 执行 ， 驱 动 器 必须 通过 管理 驱动 器 共享 来 实现 共享。 


7. 来 宾 帐 户 


该 项 检查 将 确定 在 被 扫描 的 计算 机 上 是 否 启用 了 系统 内 置 的 来 宾 帐户 ,来宾 帐户 主要 是 为 
临时 用 户 提供 的 , 默认 情况 下 是 禁用 的 。 当 用 户 在 计算 机 或 域 上 没有 帐户 , 或 者 在 计算 机 所 在 
的 域 信任 的 任何 一 个 域 中 没有 帐户 时 ， 可 以 使 用 这 种 帐户 登录 到 Windows Server 2008 系统 的 
计算 机 。 

如 果 在 Windows Server 2008 计算 机 上 已 启用 来 宾 帐户 ， 则 此 时 将 在 安全 报表 中 作为 一 个 
安全 漏洞 标记 出 来 。 如 果 在 使 用 简单 文件 共享 的 Windows XP 计算 机 上 已 启用 来 宾 帐户 ， 则 这 
种 情况 将 不 会 作为 安全 漏洞 标记 出 来 。 

8. 本 地 帐户 密码 


该 项 检查 将 找 出 使 用 空白 密码 或 简单 密码 的 所 有 本 地 用 户 帐户 。Windows 2000/XP/2003 
系统 的 管理 员 帐 户 密码 均 可 以 设置 为 空 ， 因 此 存在 很 大 的 安全 隐患 。 在 Windows Server 2008 
系统 中 ,必须 设置 符合 相应 复杂 程度 的 安全 密码 ， 才 允许 启用 管理 员 帐 户 。 因 此 该 项 扫描 只 适 
用 于 Windows 2000/XP/2003 系统 ,如 果 本 地 用 户 帐户 密码 符合 下 列 条件 之 一 ， 就 会 出 现 警告 ; 

到 密码 为 空白 ; 

和 密码 与 用 户 帐 户 名 相同 ; 
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密码 与 计算 机 名 相同 ; 
和 密码 使 用 “password” 一 词 ; 
和 密码 使 用 “admin” 或 “administrator” 一 词 。 


提示 该 项 检查 可 能 会 花 较 长 时 间 ， 这 取决 于 计算 机 上 的 用 户 帐 户 数量 。 因 此 ， 管 理 员 可 
能 想 要 在 扫描 他 们 所 在 网 络 的 域 控 制 器 前 禁用 该 检查 。 


9. 密码 过 期 
该 项 检查 将 确定 是 否 有 本 地 用 户 帐 户 设置 了 永 不 过 期 的 密码 。 密码 应 该 定期 更 改 , 以 降低 
遭 到 密码 攻击 的 可 能 性 。 


10. 限制 匿名 用 户 


该 项 检查 将 确定 被 扫描 的 计算 机 上 是 否 使 用 了 RestrictAnonymous 注册 表 项 来 限制 匿名 连 
接 。 允 许 匿名 连接 本 身 就 是 一 个 很 危险 的 系统 漏洞 , 何况 匿名 用 户 还 可 以 列 出 某 些 类 型 的 系统 
信息 ,其 中 包括 用 户 名 及 其 详细 信息 、 帐 户 策 略 和 共享 名 ， 因 此 必须 对 安全 要 求 严格 的 服务 器 
限制 此 项 功能 ， 以 使 匿名 用 户 无 法 访问 。 

11. 共享 资源 

该 检查 将 确定 在 被 扫描 的 计算 机 上 是 否 存在 共享 文件 夹 。 扫 描 报告 将 列 出 在 计算 机 上 发 现 
的 所 有 共享 内 容 ， 其 中 包括 管理 共享 及 其 共享 级 别 和 NTFS 级 别 的 权限 。 通 常情 况 下 ,应 关闭 


系统 中 非 必要 的 共享 目录 ， 尤 其 是 服务 器 更 应 如 此 。 扫 描 结果 中 将 列 出 所 有 的 系统 默认 共享 ， 
和 用 户 后 期 设置 的 重要 资源 共享 。 


12. Windows 防火 墙 


该 项 检查 将 确定 是 否 在 被 扫描 的 计算 机 上 对 所 有 的 活动 网 络 连接 启用 Windows 防火 墙 ， 
这 主要 是 针对 Windows Server 2008 系统 而 言 的 。 如 果 已 经 启用 防火 墙 ， 则 还 将 对 其 开放 的 入 
站 端口 进行 检测 。 如 果 上 述 系统 的 Windows 防火 墙 没 有 开启 ， 或 者 开放 了 存在 安全 漏洞 的 端 
口 ， 则 扫描 结果 中 将 出 现 警告 信息 。 


13. 检查 是 否 存在 不 必要 的 服务 


该 检查 将 确定 被 扫描 计算 机 上 的 services.txt 文件 中 ,是 否 包 含有 已 启用 的 服务 。services.txt 
文件 是 一 个 可 配置 的 服务 列表 , 这 些 服务 都 不 应 该 在 被 扫描 的 计算 机 上 运行 。 此 文件 由 MBSA 
安装 并 存储 在 该 工具 的 安装 文件 夹 中 。 该 工具 的 用 户 应 配置 services.txt 文件 ， 以 便 包括 在 各 
台 被 扫描 的 计算 机 上 所 要 检查 的 那些 特定 服务 。 默 认 情况 下 ,与 该 工具 一 起 安装 的 services.txt 
文件 包含 下 列 服务 : 

m MSFTPSVC (FTP); 

m TlntSvr (Telnet); 

nm W3SVC (WWW); 

m SMTPSVC (SMTP) 。 
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服务 是 一 种 程序 ， 只 要 计算 机 在 运行 操作 系统 ,其 就 在 后 台 运行 。 服 务 不 要 求 用 户 必须 进 
行 登录 。 服 务 用 于 执行 不 依赖 于 用 户 的 任务 ， 如 等 待 信息 传 入 的 传真 服务 。 


3.3.6 IIS 漏洞 检查 


如 果 目 标 计算 机 上 安装 了 IIS 服务 ， 则 MBSA 还 可 以 扫描 IIS 程序 或 设置 上 存在 的 漏洞 ， 
包括 以 下 7 种 。 


1. MSADC 和 脚本 虚拟 目录 


该 项 检查 将 确定 MSADC (样本 数据 访问 脚本 ) 和 脚本 虚拟 目录 ， 是 否 已 安装 在 被 扫描 的 
计算 机 上 。 这 些 目录 通常 包含 一 些 非 必要 的 脚本 文件 ， 将 其 删除 可 缩小 计算 机 受 攻击 的 范围 。 


2. SADMPWD 虚拟 目录 


该 检查 将 确定 ISADMPWD 目录 是 否 已 安装 在 被 扫描 的 计算 机 上 。IIS 4.0 能 让 用 户 更 改 
他 们 的 Windows 密码 并 通知 用 户 密码 即将 到 期 。IISADMPWD 虚拟 目录 包含 了 此 功能 所 要 使 
用 的 文件 ， 在 IIS 4.0 中 ，IISADMPWD 虚拟 目录 将 作为 默认 Web 站 点 的 组 成 部 分 进行 安装 。 
此 功能 是 作为 一 组 .htr 文件 和 一 个 名 为 Ism.dll 的 ISAPI 扩展 加 以 实现 的 ，.htr 文件 位 于 
\System32\Inetsrv\isadmpwd 目录 中 。 

3. 域 控制 器 上 的 |IS 

该 检查 将 确定 IIS 是 否 在 一 个 作为 域 控制 器 的 系统 上 运行 。 这 种 情况 将 在 扫描 报告 中 作为 
一 个 严重 安全 漏洞 加 以 标记 ， 除 非 被 扫描 的 计算 机 是 一 台 小 型 企业 服务 器 (Small Business 
Server)。 

建议 不 要 在 域 控制 器 上 运行 IS Web 服务 器 。 域 控制 器 上 有 敏感 的 数据 (如 用 户 帐 户 信 
息 ), 不 应 该 用 作 另 一 个 角色 。 如 果 在 一 个 域 控制 器 上 运行 Web 服务 器 ， 就 增加 了 保护 服务 器 
安全 和 防止 攻击 的 复杂 性 。 


4. 1IS 锁定 工具 


该 项 检查 将 确定 IIS Lockdown 工具 (Microsoft Security Tool Kit 的 一 部 分 ) 是 否 已 经 在 被 
扫描 的 计算 机 上 运行 。IIS Lockdown 工具 的 工作 原理 是 ， 关 闭 IS 中 不 必要 的 功能 ， 从 而 缩小 
攻击 者 可 以 利用 的 攻击 面 。 

自从 Windows Server 2003 的 IIS 6.0 开始 , 就 已 经 不 再 需要 IIS Lockdown 工具 ,默认 情况 
下 已 经 锁定 了 相关 功能 。 对 于 从 IIS 4.0 安装 升级 到 IIS 6.0 或 IS 7.0 的 ， 则 应 该 使 用 IS 
Lockdown 来 确保 仅 在 服务 器 上 启用 了 所 需 的 服务 。 


5.1IS 日 志 记 录 


该 项 检查 将 确定 IS 日 志 记 录 功 能 是 否 已 启用 ， 以 及 是 否 已 使 用 W3C 扩展 日 志文 件 格式 。 
Windows 的 事件 日 志 记 录 中 ， 没 有 包括 IIS 日 志 记 录 。IIS 日 志 记录 通常 包括 站 点 运行 状 
态 的 详细 情况 ， 如 哪些 用 户 访问 过 该 站 点 、 浏 览 内 容 、 时 间 等 。 管理 员 可 以 根据 需要 选择 对 任 
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何 站 点 、 虚拟 目录 或 文件 进行 审核 , 通过 定期 复查 审核 结果 ， 可 以 检测 到 服务 器 或 站 点 中 可 能 
遭受 攻击 或 其 他 安全 问题 的 方面 。 在 启用 了 日 志 记录 之 后 , 也 就 对 该 站 点 的 所 有 文件 夹 启用 了 
志 记录 ， 但 也 可 以 对 特定 的 目录 禁用 日 志 记录 。 


6. lIS 父 路 经 


该 项 检查 将 确定 在 被 扫描 的 计算 机 上 , 是 否 启用 了 ASPEnableParentPaths 设置 ,通过 在 IIS 
上 启用 父 路 经 ，Active Server Page (ASP) 页 就 可 以 使 用 到 当前 目录 的 父 目 录 的 相对 路 径 。 


7.1IS 样本 应 用 程序 


该 项 检查 将 确定 下 列 TS 示例 文件 目录 是 否 安装 在 计算 机 上 : 

\Inetpub\iissamples 

\Winnt\help\iishelp 

\Program Files\common files\system\msadc 

通常 与 IS 一 起 安装 的 样本 应 用 程序 会 显示 动态 HTML (DHTML) 和 Active Server Pages 
(ASP) 脚本 ， 并 提供 联机 文档 。 


3.3.7 ”SQL 检查 


MBSA 可 以 对 在 被 扫描 计算 机 中 SQL Server 和 MSDE 的 所 有 实例 进行 扫描 ， 并 检测 是 否 
存在 以 下 漏洞 。 


1. Sysadmin 角色 的 成 员 


该 项 检查 将 确定 Sysadmin 角色 的 成 员 数 量 ， 并 将 结果 显示 在 安全 报表 中 。 
SQL Server 角色 将 具有 相同 操作 权限 的 登录 帐户 组 合 到 一 起 ， 对 于 固定 的 服务 器 角色 ， 
Sysadmin 将 系统 管理 员 权限 提供 给 其 所 有 成 员 。 


注意 ”如果 扫描 结果 中 显示 “No permissions to access database (无 权 访 问 数 据 库 ) ”错误 
和 消息 ， 风 可 能 没有 访问 MASTER 数据 库 的 权限 。 


2. 将 CmdExec 权限 授予 Sysadmin 


该 项 检查 将 确保 CmdExec 权限 仅 被 授予 Sysadmin， 其 他 所 有 具有 CmdExec 权限 的 帐户 
都 将 在 安全 报表 中 列 出 。 

SQL Server 代理 是 Windows NT/2000/XP/Vista 系统 中 的 一 项 服务 ， 负 责 执 行 作 业 、 监 控 
SQL Server 和 发 送 警报 。 通 过 SQL Server 代理 ， 可 以 使 用 脚本 化 作业 步骤 使 某 些 管理 任务 实 
现 自 动 化 。 作 业 是 SQL Server 代理 按 顺序 执行 的 一 个 指定 的 操作 序列 ， 一 项 作业 可 以 执行 范 
围 广泛 的 活动 ， 其 中 包括 运行 Transact-SQL 脚本 、 命 令 行 应 用 程序 和 Microsoft ActiveX 脚本 。 
用 户 可 以 创建 作业 , 以 便 运行 经 常 重复 或 者 计划 的 任务 , 而 作业 也 可 以 通过 生成 警报 自动 将 它 
们 的 状态 通知 给 用 户 。 
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3. SQL Server 本 地 帐户 密码 


该 项 检查 将 确定 是 否 有 本 地 SQL Server 帐户 采用 了 简单 密码 。 这 一 检查 将 列举 所 有 用 户 
帐户 并 检查 是 否 有 帐户 使 用 下 列 密码 : 

和 密码 为 空白 ; 

和 密码 与 用 户 帐 户 名 相同 ; 

四 密码 与 计算 机 名 相同 ; 
和 密码 使 用 “password” 一 词 ; 
和 


密码 使 用 “sa” 一 词 ; 
密码 使 用 “admin” 或 “administrator” 一 词 。 


4. SQL Server 身份 验证 模式 


该 项 检查 将 确定 被 扫描 的 SQL Server 使 用 的 身份 验证 模式 。Microsoft SQL Server 为 提高 
对 该 服务 器 进行 访问 的 安全 性 提供 了 两 种 模式 : Windows 身份 验证 模式 和 混合 模式 。 

在 Windows 身份 验证 模式 下 , Microsoft SQL Server 只 依赖 Windows 系统 对 用 户 进行 身份 
验证 。 然 后 ，Windows 用 户 或 组 就 得 到 授予 访问 SQL Server 的 权限 。 在 混合 模式 下 ， 用 户 可 
能 通过 Windows 或 通过 SQL Server 进行 身份 验证 。 经 过 SQL Server 身份 验证 的 用 户 将 用 户 名 
和 密码 保存 在 SQL Server 内 。Microsoft 强烈 推荐 始终 使 用 Windows 身份 验证 模式 。 


5. Windows 身份 验证 模式 


该 安全 模式 使 SQL Server 能 够 像 其 他 应 用 程序 ， 依 赖 于 Windows 对 用 户 进行 身份 验证 。 
使 用 此 模式 与 服务 器 建立 的 连接 叫 作 受 信任 连接 。 当 使 用 Windows 身份 验证 模式 时 ， 数 据 库 
管理 员 通 过 授予 用 户 登录 到 SQL Server 的 权限 来 允许 他 们 访问 运行 SQL Server 的 计算 机 。 
Windows 安全 识别 符 (SID) 将 用 于 跟踪 使 用 Windows 进行 身份 验证 的 用 户 。 在 使 用 Windows 
SID 的 情况 下 ， 数 据 库 管理 员 可 以 将 访问 权 直 接 授予 Windows 用 户 或 组 。 

6. 混合 模式 

在 SQL Server 中 , 当 客 户 端 和 服务 器 都 可 以 使 用 NTLM 或 Kerberos 登录 身份 验证 协议 
时 ， 混 合 模式 将 依赖 Windows 对 用 户 进行 身份 验证 。 如 果 其 中 某 一 方 不 能 使 用 标准 Windows 
登录 ， 那 么 SQL Server 就 会 要 求 提供 用 户 名 和 密码 ， 并 将 用 户 名 和 密码 与 存储 在 其 系统 表 中 
的 用 户 名 和 密码 进行 比较 。 依 赖 用 户 名 和 密码 建立 的 连接 叫 作 不 受信 任 的 连接 。 

之 所 以 提供 混合 模式 ， 有 以 下 两 方面 原因 : 

昌 向 后 兼容 SQL Server 的 旧版 本 ; 

自在 SQL Server 安装 到 Windows 9x 操作 系统 时 实现 兼容 。 

7. Sysadmin 角色 中 的 SQL Server BUILTINAdministrators 

该 项 检查 将 确定 Administrators 组 是 否 被 列 为 Sysadmin 角色 的 成 员 。 
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注意 ， 如 果 扫描 结果 中 显示 “No permissions to access database”( 无 权 访问 数据 库 ) 错误 
C9 消息 ， 则 可 能 不 具有 访问 MASTER 数据 库 的 权限 。 


SQL Server 角色 是 一 个 安全 帐户 , 同时 也 是 包含 了 其 他 安全 帐户 的 一 个 帐户 集合 。 进行 权 
限 配置 时 ， 可 以 将 其 看 成 一 个 单独 的 单元 。 一 个 角色 可 以 包含 SQL Server 登录 权限 、 其 他 角 
色 和 Windows 用 户 帐 户 或 组 。 

固定 的 服务 器 角色 具有 涵盖 整个 服务 器 的 作用 域 , 这 些 角色 存在 于 数据 库 外 部 。 一 个 固定 
服务 器 角色 的 每 个 成 员 ， 都 能 够 向 相同 角色 中 添加 其 他 登录 。 默 认 情 况 下 ，Windows 
BUILTINAdministrators 组 (本 地 管理 员 的 组 ) 的 所 有 成 员 都 是 Sysadmin 角色 的 成 员 ， 从 而 向 
其 赋予 了 对 所 有 数据 库 的 完全 访问 权 。 

8. SQL Server 目录 访问 

该 项 检查 将 验证 下 列 SQL Server 目录 是 否 都 只 将 访问 权 授予 SQL 服务 帐户 和 本 地 管理 员 ; 

m Program Files\Microsoft SQL ServerMSSQLSInstanceName\Binn 

m Program Files\Microsoft SQL ServerMSSQLS$InstanceName\Data 

m Program Files\Microsoft SQL ServerMSSQL\Binn 

m Program Files\Microsoft SQL ServerMSSQL\Data 


该 工具 将 扫描 这 些 文件 夹 中 每 个 文件 来 上 的 访问 控制 列表 ， 并 列举 出 列表 中 包含 的 用 户 。 
如 果 任何 其 他 用 户 ( 除 SQL 服务 帐户 和 管理 员 以 外 ) 具有 读 取 或 修改 这 些 文件 夹 的 访问 权 ， 
则 该 工具 将 在 安全 报表 中 将 此 检查 标记 为 一 个 安全 漏洞 。 

9. SQL Server 公开 的 SA 帐户 密码 

该 项 检查 将 确定 SQL Server 的 SA 帐户 密码 是 否 以 明文 形式 写 入 日 志文 件 中 ,在 SQL Server 
2000/2005 中 , 如 果 域 凭证 用 于 启动 SQL Server 服务 , 也 会 检查 日 志文 件 . 如 果 在 设置 SQL Server 
时 使 用 混合 模式 身份 验证 ， 则 SA 密码 以 明文 形式 保存 ;如果 使 用 Windows 身份 验证 模式 ， 管 
理 员 选择 提供 自动 启动 SQL Server 服务 时 使 用 的 域 凭证 ， 只 会 使 凭证 处 于 危险 境地 。 

10. SQL Server 来 宾 帐 户 

该 项 检查 将 确定 SQL Server 来 宾 帐 户 是 否 具有 访问 数据 库 (Master、tempdb 和 msdb 除外 ) 
的 权限 。 该 帐户 具有 访问 权 的 所 有 数据 库 都 将 在 安全 报表 中 列 出 。 


注意 ”如果 扫描 结果 中 显示 “No permissions to access database”( 无 权 访问 数据 库 ) 错误 
稳 消息 ， 风 可 能 不 具有 访问 MASTER 数据 库 的 权限 。 


在 SQL Server 中 ， 一 个 用 户 登录 帐户 必须 以 下 列 方式 之 一 获得 访问 数据 库 及 其 对 象 的 授权 。 

里 登录 帐户 可 以 被 指定 为 一 个 数据 库 用户 ; 

于 登录 帐户 可 以 使 用 数据 库 中 的 来 宾 帐 户 ; 

到 Windows 组 登录 可 以 上 映射 到 一 个 数据 库 角色 。 然 后 ， 属 于 该 组 的 单个 Windows 帐户 都 
可 以 连接 到 该 数据 库 。 
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db_owner 或 db_accessadmin 数据 库 角 色 的 成 员 或 者 Sysadmin 固定 服务 器 角色 成 员 , 都 可 
以 创建 数据 库 用 户 帐 户 角色 。 一 个 帐户 可 以 有 多 个 参数 : SQL Server 登录 ID、 数 据 库 用 户 名 
和 角色 名 称 。 数 据 库 用 户 名 称 可 以 与 用 户 的 登录 ID 不同。 如 果 未 提供 数据 库 用 户 名 ， 则 该 用 
户 的 登录 ID 和 数据 库 用 户 名 完全 相同 。 创 建 数据 库 用 户 后 ， 可 以 根据 需要 为 该 用 户 分 配 任意 
数量 的 角色 。 如 果 未 提供 角色 名 称 ， 则 该 数据 库 用 户 只 是 公共 角色 的 一 个 成 员 。 

db_owner、db_accessadmin 或 Sysadmin 角色 的 成 员 还 可 以 创建 来 宾 帐户 ， 来 宾 帐 户 允 许 
任何 合法 的 SQL Server 登录 帐户 访问 数据 库 。 默 认 情况 下 ， 来 宾 帐 户 将 继承 分 配给 公共 角色 
的 所 有 特权 ; 不过， 这 些 特 权 可 以 被 更 改 ， 使 其 权限 大 于 或 小 于 公共 角色 特权 。 


11. 域 控制 器 上 的 SQL Server 

该 检查 将 确定 SQL Server 是 否 运行 域 控制 器 上 。 域 控制 器 包含 有 敏感 数据 ， 通 常 不 再 用 
来 提供 其 他 网 络 服务 。 如 果 在 域 控制 器 上 运行 SQL Server, 则 增加 了 保护 服务 器 安全 和 防止 攻 
击 的 复杂 性 ， 建 议 不 要 这 样 部 署 。 

12. SQL Server 注册 表 项 安全 

该 项 检查 将 确保 Everyone 组 对 下 列 注册 表 项 的 访问 权 被 限制 为 读 取 权限 : 


m HKLM\Software\Microsoft\Microsoft SQL Server 
m HKLM\Software\Microsoft\MS SQLServer 


如 果 Everyone 组 对 这 些 注册 表 项 的 访问 权限 高 于 读 取 权 限 , 则 这 种 情况 将 在 安全 扫描 报 
告 中 被 标记 为 严重 安全 漏洞 。 
13. SQL Server 服务 帐户 


该 检查 将 确定 SQL Server 服 务 帐户 在 被 扫描 的 计算 机 上 是 否 为 本 地 或 域 管理 员 组 的 成 员 ， 
或 者 是 否 有 SQL Server 服务 帐户 正在 LocalSystem 上 下 文中 运行 。 
在 被 扫描 的 计算 机 上 ，MSSQLServer 和 SQLServerAgent 服务 帐户 都 要 经 过 检查 。 


注意 ”如果 扫描 结果 中 显示 “No permissions to access database”( 无 权 访问 数据 库 ) 错误 
消息 ， 则 可 能 不 具有 访问 MASTER 数据 库 的 权限 。 


3.3.8 桌面 应 用 程序 检查 


MBSA 对 在 被 扫描 的 计算 机 中 桌面 应 用 程序 进行 扫描 ， 并 检测 是 否 存在 以 下 漏洞 ; 
1. IE 安全 区 域 


该 项 检查 将 列 出 被 扫描 计算 机 上 所 有 本 地 用 户 当前 采用 的 正 区 域 安全 设置 ， 并 给 出 合理 
建议 。 
正 内 容 区 域 将 Internet 或 mtranet 分 成 具有 不 同安 全 级 别 的 区 域 。 对 于 每 个 安全 区 域 ， 可 
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以 选择 相应 的 安全 级 别 ， 或 者 自 定义 安全 设置 。Microsoft 建议 ， 对 于 不 能 确定 是 否 可 信任 的 
区 域内 的 站 点 , 应 将 安全 性 设置 为 高 。 自 定义 选项 为 高 级 用 户 和 管理 员 提供 了 针对 所 有 安全 选 
项 的 更 多 的 控制 权 ， 其 中 包括 下 列 几 项 : 

下 对 文件 、ActiveX 控件 和 脚本 的 访问 ; 

四 提供 给 Java 小 程序 的 功能 级 别 ; 

四 带 有 安全 套 接 字 层 (SSL) 身份 验证 的 站 点 身份 指定 ; 

四 带 有 NTLM 身份 验证 的 密码 保护 (根据 服务 器 所 在 的 区 域 ,Intemet Explorer 可 以 自动 

发 送 密码 信息 ， 提 示 用 户 输入 用 户 和 密码 信息 ， 或 者 干脆 拒绝 任何 登录 请 求 )。 

2. 面向 管理 员 的 IE 增强 安全 配置 

该 检查 可 识别 出 运行 Windows Server 2008 的 计算 机 上 , 是 否 已 经 启用 针对 管理 员 的 正 增 
强 安 全 配置 (Enhanced Security Configuration)。 如 果 已 经 安装 了 针对 管理 员 的 下 增强 安全 配 
置 ， 这 一 检查 还 会 识别 出 禁用 该 正 增强 安全 配置 的 管理 员 。 

3. 面向 非 管理 员 的 IE 增强 安全 配置 

该 检查 识别 出 在 运行 Windows Server 2008 的 计算 机 上 ， 是 否 已 经 启用 用 于 非 管理 员 用 户 
的 Internet Explorer 增强 安全 配置 (Enhanced Security Configuration)。 如 果 已 经 安装 了 针对 非 
管理 员 的 Intemet Explorer 增强 安全 配置 , 这 一 检查 还 会 识别 出 禁用 该 Intemet Explorer 增强 安 
全 配置 的 非 管理 员 用 户 。 

4. Office 安全 配置 和 分 析 宏 保护 

该 检查 将 对 每 个 用 户 逐 一 确定 Microsoft Office 2007/2003/2000/97 宏 保 护 的 安全 级 别 。 
MBSA 还 将 对 PowerPoint、Word、Excel 和 Outlook 进行 检查 。 

宏 能 够 将 重复 的 任务 自动 化 。 这 样 可 以 节省 时 间 , 但 也 会 被 用 于 传播 病毒 , 例如 当 用 户 打 

包含 恶意 宏 的 受 感染 文档 时 ， 会 使 恶意 宏 蕊 延 到 系统 上 的 其 他 文档 ， 或 者 传播 给 其 他 用 户 。 


3.4 修补 系统 漏洞 的 原则 


修补 系统 漏洞 是 发 现 漏洞 后 的 第 一 要 务 。 产 品 供应 商 发 现 漏洞 之 后 , 会 在 最 短 的 时 间 内 发 
布 对 应 的 修补 程序 ， 用 户 可 以 免费 获取 、 安 装 ， 使 系统 恢复 到 安全 状态 。 看 似 简单 的 过 程 ， 却 
暗含 着 许多 用 户 需 要 注意 的 事项 。 通 常情 况 下 ， 不 同类 型 的 产品 、 不 同 的 应 用 环境 ， 都 必须 选 
择 适用 的 补丁 程序 ， 否 则 不 仅 起 不 到 修补 作用 , 还 可 能 导致 新 的 漏洞 ， 甚 至 造成 系统 崩溃 的 严 
重 后 果 。 
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3.4.1 备份 相关 数据 


在 安装 补丁 之 前 , 最 好 将 相关 的 文件 进行 备份 ， 以 免 造 成 错误 ， 丢失 重要 数据 或 者 导致 系 
统 无 法 正常 运行 。 如 果 是 针对 操作 系统 的 补丁 ， 则 应 确保 补丁 具备 “ 回 深 ” 功 能 。 
通常 情况 下 ， 需 要 备份 的 数据 包括 两 部 分 : 
原来 程序 的 安装 目录 。 对 于 绿色 软件 而 言 ， 只 需 备 份 相应 的 目录 即 可 ; 
系统 的 DLL 动态 库 文件 。 查 明 可 能 覆盖 的 相关 的 DLL 文件 并 单独 备份 ,如果 安装 补丁 
时 由 于 覆盖 DLL 文件 ,导致 系统 故障 , 则 可 以 进入 安全 模式 , 将 备份 的 DLL 文件 重新 
覆盖 相关 的 DLL 文件 即 可 。 


3.4.2 核对 补丁 信息 


用 户 可 以 通过 多 种 渠道 获得 漏洞 补丁 程序 , 但 是 需要 注意 的 是 , 这 些 补丁 通常 都 是 针对 特 
定 产品 的 ， 安 装 之 前 必须 仔细 阅读 相关 信息 。 

1. 阅读 补丁 声明 

在 运行 补丁 程序 之 前 ,一 定 要 仔细 阅读 有 关 的 说 明文 档 ， 充 分 了 解 补丁 的 功能 、 用 法 、 对 
应 漏洞 的 情况 , 对 安装 补丁 后 发 生 的 后 果 要 做 到 心中 有 数 。 然 后 根据 企业 的 网 络 环境 进行 分 析 ， 
判断 可 能 产生 的 风险 , 根据 漏洞 的 紧急 情况 , 判断 是 否 需 要 安装 补丁 。 需 要 提前 做 好 预备 工作 ， 
确保 针对 在 补丁 安装 完成 后 出 现 的 问题 ， 能 有 高 效 、 快 捷 、 安 全 的 补救 措施 。 

2. 对 号 下 载 补丁 

注意 补丁 程序 对 应 的 操作 系统 和 应 用 软件 的 版 本 。 很 多 补丁 都 是 针对 某 个 特定 的 操作 系统 
和 应 用 软件 版 本 而 开发 的 。 除 此 之 外 ,使 用 时 还 要 下 载 与 操作 系统 (还 要 注意 不 同 语言 版 本 )、 
应 用 程序 匹配 的 补丁 程序 。 

3. 下 载 安 全 补丁 

补丁 的 来 源 一 定 要 安全 , 必须 到 可 靠 的 平台 下 载 , 或 者 到 有 安全 认证 的 供应 商 那 获取 相关 
的 补丁 程序 ， 防 止 被 恶意 修改 或 安装 了 嵌入 “木马 ”的 补丁 。 建 议 到 官方 的 网 站 和 信誉 较 好 的 
网 站 下 载 补 丁 安装 或 者 在 线 安装 补丁 , 一 方面 可 以 保证 下 载 的 补丁 是 安全 有 效 的 , 另 一 方面 可 
以 保证 补丁 安装 包 的 时 效 性 。 


3.4.3 选择 安装 模式 


通常 情况 下 , 补丁 的 安装 有 在 线 安装 和 下 载 结束 再 安装 这 两 种 模式 , 可 以 根据 企业 的 网 络 
状况 选择 适合 自己 的 安装 模式 。 如 果 网 络 环境 稳定 ， 可 以 选择 在 线 安装 ， 否 则 建议 将 补丁 下 载 
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到 本 地 在 进行 安装 ， 可 以 有 效 避 免 因 为 网 络 原因 (线路 故障 等 ) 造成 的 安装 失败 。 

在 补丁 安装 的 时 候 , 要 退出 正在 运行 的 应 用 程序 , 否则 可 能 会 出 现 因为 文件 正在 使 用 无 法 
正常 安装 补丁 的 情况 。 对 于 系统 启动 加 载 的 应 用 程序 , 尽量 将 其 从 启动 项 中 删除 再 进行 补丁 的 
安装 。 

总 之 , 部 署 补丁 时 ， 一 定 要 注意 补丁 的 安装 策略 ， 否 则 事与愿违 ,给 工作 带 来 不 必要 的 麻烦 。 


3.5 ”微软 免费 修补 漏洞 工具 


软件 和 系统 漏洞 问题 一 直 困 扰 着 广大 计算 机 用 户 , 对 于 这 些 漏洞 所 带 来 的 隐患 , 也 只 有 通 
过 及 时 下 载 补丁 来 预防 。 对 绝 大 多 数 用 户 来 说 ， 选 择 一 款 好 用 的 漏洞 修补 工具 是 非常 重要 的 ， 
而 Windows 系统 自身 带 有 漏洞 修补 更 新 工具 ， 更 是 帮助 用 户 解决 了 漏洞 修补 功能 。 


3.5.1 用 Microsoft Update 安装 补丁 


Microsoft Update 是 微软 公司 发 布 所 有 产品 漏洞 补丁 的 官方 网 站 ，Windows Server 2008 用 
户 ， 可 以 直接 使 用 系统 自 带 的 Windows Update 向 导 ， 完 成 Windows 系统 及 其 他 Microsoft 产 
品 的 自动 更 新 。 

1. 安装 系统 更 新 


更 新 是 软件 的 添加 项 ， 有 助 于 防止 问题 或 修复 问题 、 改 进 计算 机 的 工作 方式 、 增 强 计算 机 
性 能 。 使 用 自动 更 新 ， 无 须 联机 搜索 更 新 ， 也 无 须 担 心计 算 机 缺少 Windows 的 关键 修复 程序 。 
Windows 会 自动 检查 适用 于 计算 机 的 最 新 更 新 。 


和 1 启动 windows Server 2008 系统 ， 依 次 选择 “开始 ”一 “所 有 程序 ”一 “Windows Update” 选 项 ， 打 
开 “Windows Update” 窗 口 。 单 击 “现在 安装 ”按钮 ， 开 始 下 载 更 新 ， 完 成 后 显示 如 图 3.1 所 示 结 果 。 
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图 3.1 下 载 和 安装 计算 机 的 更 新 
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02 单 击 “ 安 装 更 新 ”按钮 ， 显 示 如 图 3.2 所 示 “上 3 选中 “我 接受 许可 条 款 ” 单 选 按钮 ， 单 击 “ 完 
“Windows Update” 对 话 框 ， 从 微软 的 网 站 下 载 计 “成 ”按钮 ， 返 回 如 图 3.3 所 示 “Windows Update” 
算 机 更 新 程序 。 窗口 ， 显 示 正在 下 载 更 新 。 
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图 3.2 检测 更 新 图 3.3 正在 下 载 更 新 
4 .更 新 完成 后 ， 单 击 “ 立 即 重新 启动 ”按钮 以 完成 安装 更 新 。 
S EE .9 
2. 查看 更 新 历史 记录 [ET 一面 门 
Hn MD Em THD WN 
更 新 完成 后 , 用 户 可 以 对 系统 更 新 的 历 。 Snesesnas. se wseasei 
史记 录 进 行 查看 。 JE 昔 车 | 


01 打开 “Windows Update” 窗 口 ， 在 左 侧 窗 格 。 3 人 oween emansaa ean 
中 ， 单 击 “ 查 看 更 新 历史 记录 ”链接 ， 打 开 ee 
如 图 3.4 所 示 “ 查 看 更 新 历史 记录 ”窗口 。 ee 


0 2 可 以 查看 所 有 历史 的 系统 更 新 记录 。 本 EE 


EE EE EE E444: 
思 思 加 电感 屿 屿 丰 四 黑 轧 轩 思 思 昌 
上 
日 


图 3.4 “查看 更 新 历史 记录 ”窗口 
3.5.2 ”系统 更 新 服务 


WSUS (Windows Software Update Service) 是 个 微软 推出 的 免费 的 网 络 化 补丁 分 发 方案 ， 
可 以 从 微软 网 站 中 下 载 获 得 。WSUS 支持 微软 公司 全 部 产品 更 新 ， 使 信息 技术 管理 员 能 够 将 
最 新 的 Microsoft 产品 更 新 部 署 至 计算 机 上 。 


1. WSUS 概述 
通常 情况 下 ， 家 庭 或 中 小 型 用 户 都 是 直接 从 Microsoft Update 服务 器 直接 下 载 所 需 更 新 程 
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序 。 但 是 ， 如 果 在 大 型 网 络 中 ,仍然 使 用 这 种 方式 , 每 天 仅 此 一 项 网 络 流量 就 可 能 占 去 一 大 部 
分 。 而 通过 WSUS 这 个 内 部 网 络 中 的 Windows 升级 服务 , 就 让 所 有 Windows 更 新 都 集中 下 载 
到 内 部 网 的 WSUS 服务 器 中 ， 使 网 络 中 的 客户 机 通过 WSUS 服务 器 得 到 更 新 。 这 在 很 大 程度 
上 节省 了 网 络 资源 ， 避 免 了 外 部 网 络 流量 的 浪费 并 且 提高 了 内 部 网 络 中 计算 机 的 更 新 效率 ， 
WSUS 的 体系 结构 如 图 3.5 所 示 。 

如 果 网 络 规模 比较 大 , 还 可 以 采用 “多 级 ”WSUS 结构 , 如 图 3.6 所 示 。 其 中 , “上 游 WSUS 
升级 服务 器 ”负责 从 Microsoft Update 站 点 下 载 升 级 补丁 并 管理 下 游 的 WSUS 升级 服务 器 “下 
游 ” 的 升级 服务 器 从 “上 游 ”升级 服务 器 获得 补丁 ， 并 为 企业 网 络 中 的 工作 站 提供 升级 补丁 。 
所 有 的 工作 站 被 划分 到 不 同 的 “下 游 升级 服务 器 ”中 并 且 从 其 设置 的 “下 游 ”升级 服务 器 获得 
补丁 。 

Microsoft Update 服 务 器 


Windowsupdate, microsoft. com 
Update. microsof't. com 


WSUS 服 务 器 TSUS 服 务 器 “ 
企业 内 部 升级 服务 器 上 湖 开 级 服务 器 加 


| ~ 。、 - TO 


2 中 » os BES 


工作 站 工作 站 工作 站 工作 站 工作 站 工作 站 。 工作站 本 工作 站 
图 3.5 WSUS 体系 结构 图 3.6 多 级 WSUS 体系 结构 
2. 配置 WSUS 服务 器 


WSUS 是 一 款 服务 器 /客户 端 模式 的 软件 ， 应 用 之 前 应 先 正确 配置 服务 器 端 。 安 装 WSUS 
服务 器 时 ， 必 须 使 用 具有 本 地 管理 员 权限 的 用 户 帐户 登录 系统 。 另 外 ， 如 果 安装 完成 后 想 立即 
启动 Web 管理 工具 ， 还 必须 为 Administrator 用 户 帐户 设置 不 为 空 的 登录 密码 。 


(1 ) 软件 需求 


WSUS 3.0 SP1 对 操作 系统 版 本 、 操 作 系统 上 运行 的 服务 、IHS、 数 据 库 、 磁 盘 分 区 格式 、 
硬盘 可 用 空间 都 有 一 定 的 要 求 : 
@ WSUS 服务 器 系统 平台 可 以 是 Windows Server 2003 SP1/SP2、Windows Server 2003 R2 
或 Windows Server 2008; 
到 目标 服务 器 不 能 安装 “终端 服务 "， 如 果 确 认 需 要 使 用 “终端 服务 ”对 计算 机 管理 管理 ， 
则 可 以 在 安装 WSUS 之 前 临时 将 其 删除 。 安 装 WSUS 后 , 重新 安装 “终端 服务 ” 即 可 ; 
mm WSUS 3.0 SP1 需要 IIS 6.0/7.0 的 支持 。 如 果 服 务 器 是 从 Windows Server 2000 升级 到 
Windows Server 2003 的 ， 则 默认 情况 下 , IIS 可 能 在 IIS 5.0 兼容 模式 下 运行 , 这 也 可 能 
会 导致 安装 失败 ; 
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WSUS 根 服务 器 必须 可 以 连接 到 Intemet， 如果 使 用 代理 服务 器 连接 Internet， 则 代理 服 
务 器 必须 支持 HITP 或 者 HTTPS 方式 ; 
@ 安装 WSUS 时 ， 需 要 禁止 正在 运行 的 防 病毒 程序 和 一 切 防火 墙 软件 ; 

mm 如 果 在 网 络 中 配置 需要 协同 工作 的 多 台 WSUS 服务 器 ， 则 需要 安装 专用 的 SQL Server 
2005 数据 库 ， 安 装 程序 默认 安装 的 WMSDE 数据 库 只 能 用 于 独立 的 WSUS 服务 器 ; 
如 果 安 装 WSUS 的 服务 器 操作 系统 为 Windows Server 2008, 则 满足 操作 系统 需求 即 可 ， 
如 果 是 Windows Server 2003 系统 ， 则 除 满足 系统 运行 需求 外 ， 必 须 确保 内 存 不 低 于 

512M。 


(2) 硬件 需求 


WSUS 3.0 SP1 功能 虽然 有 了 明显 提升 ， 但 硬件 需求 方面 变化 不 大 。 以 下 是 客户 端 数量 不 
大 于 500 个 的 WSUS 服务 器 的 主要 硬件 配置 信息 : 


昌 服务 器 内 存 至 少 为 1 GB; 

@ 处 理 器 至 少 为 1 GHz 或 更 高 ; 

m 磁 失 空 间 依据 所 选 数据 库 的 不 同 而 有 所 区 别 ， 建 议 保留 30 GB 的 自由 空间 用 于 存储 下 
载 数据 和 数据 库 信息 ; 

m 确保 WSUS 服务 器 到 Intemet 以 及 和 客户 端 之 间 的 网 络 连接 正常 。 


(3 ) 准备 工作 


在 即将 安装 WSUS 的 计算 机 上 ， 安 装 Windows Server 2008 系统 及 各 种 驱动 程序 ， 配置 网 
卡 的 了 P 地 址 、 子 网 掩 码 、 网 关 及 DNS 等 参数 ， 使 其 可 以 连接 到 Intemet， 如 果 通 过 代理 服务 
器 连接 到 Intemet， 则 应 指定 正确 的 代理 服务 器 信息 和 有 效 身份 凭证 。 安 装 WSUS 之 前 应 做 好 
如 下 准备 工作 : 

安装 IIS 服务 ; 

后 台 智 能 传输 服务 (BITS) 2.0; 

Report Viewer (可 选 组件 ， 建 议 安装 )。 


注意 安装 IIS 过 程 中 ， 应 确保 以 选择 “应 用 程序 开发 ”中 的 “ASP NET 组 件 "， 和 否则 将 
无 法 完成 WSUS 安装 。 


(4) 安装 WSUS 服务 器 


用 户 可 以 登录 以 下 站 点 免费 获取 最 新 版 的 WSUS 服务 器 安装 文件 ， 一 切 准备 工作 就 绪 之 
后 即 可 开始 安装 WSUS 服务 器 ， 具 体 安装 过 程 如 下 。 


01 将 下 载 的 安装 包 解 压缩 至 本 地 计算 机 的 某 个 目录 下 ， 执 行 其 中 的 WusSetup.exe 文件 即 可 启动 WSUS 
安装 向 导 ， 依 次 单 击 “ 下 一 步 ”按钮 ， 选 择 安装 模式 、 接 受 许可 协议 和 设置 本 地 存储 更 新 的 目录 ， 如 图 
3.7 所 示 。 在 “安装 模式 选择 ”对 话 框 中 ， 选 择 “包括 管理 控制 全 的 完整 服 务 器 安装 ” 单 选 按钮 。 设 置 
为 本 地 存储 更 新 时 ， 需 要 确保 所 选 分 区 的 可 用 磁盘 空间 足够 大 。 
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LN 
本 芭 可 以 指 宝 宫 户 洪 计 算 机 从 中 匡 天 更 新 的 位 置 。 | 
个 WR 管 理 棕 外 


ECROSOFT 

ee 
请 注意 : Microsoft Corp 名 蒜 康 = 请 及 复 法 程 ， 朱 更 新 让 信 在 出 cresoft Updute 上 
ea 
和 者 计 可 稚 衣 条 甘 ， 。。 本 地 寻 亚 新) 


Ps VOD 


sm un | 


图 3.7 设置 安装 模式 和 更 新 源 


02 依次 单 击 “ 下 一 步 按钮 设置 数据 库 类 型 和 使 用 的 Web 站 点 , 如 图 3.8 所 示 。 在 “数据 库 选 择 ” 对 话 框 中 ， 
选择 “在 此 计算 机 上 安装 Windows Internal Database” 单 选 按钮 ， 并 指定 保存 WSUS 数据 库 文件 的 位 置 。 
WSUS 数据 库 中 存储 的 信息 包括 : WSUS 服务 器 配置 信息 、 用 于 描述 更 新 程序 作用 的 元 数据 和 客户 端 计 算 
机 、 更 新 程序 信息 以 及 客户 端 计 算 机 所 进行 的 更 新 情况 ,通常 不 会 占用 太 多 空间 。 在 “网 站 选择 ”对 话 框 中 ， 
选择 “使 用 现 有 lIS 默认 网 站 ” 单 选 按钮 ， 即 可 使 用 系统 默认 的 80 端口 ， 作 为 此 站 点 的 通信 端口 ， 如 果 当 
前 服务 器 上 存在 正在 运行 的 Web 站 点 ， 且 已 占用 80 端口 ， 则 可 以 选择 “创建 Windows Server Update 
Services 3.0 SP1 网 站 ” 单 选 按钮 ， 使 用 8530 端口 创建 用 于 WSUS 管理 的 Web 站 点 。 


2 Wpdate Services 3.0 SP1 下 
让 至 有 2 @ 可 用 有 。 网 8 前 和 _ 


个 合用 现 有 IT 出 iadors Server Update Serviees 3.0 Spl 可 与 以 下 限 置 一 起 去 半 


配置 窜 户 尖 计算 机 以 访 汪 = WS: http: /TU sel Epate 
http WALIUIH 
在 ISIS 管理 3 制 台中 ， 以 下 组 件 将 与 finiows Server tpdate Services 3.0 SPL 一 起 安装 : 


个 使 所 运程 计算 机 由 关 
4 


— Yindors Intemmal Datsbase 


要 进行 安 法 ， 请 单 击 " 下 一 步 。 要 坦 看 或 更 次 设 置 ， 请 单 击 上 一 步 “ 


《上 - 步 中 再 消 


图 3.8 设置 数据 库 和 站 点 
提示 WSUS 还 可 以 使 用 本 地 或 远程 计算 机 上 的 SQL Server 2000/2005 数据 库 ， 但 需要 注 


意 的 是 WSUS 只 支持 Windows 认证 。 如 果 是 独立 的 WSUS 服务 器 ,， 则 建议 使 用 其 
默认 的 数据 库 。 


03 安装 完成 后 ， 将 自动 关闭 Windows Server Update Services 3.0 SP1 安装 向 导 ， 同 时 显示 如 图 3.9 所 示 
“Windows Server Update Services 配置 向 导 ” 对 话 框 , 通过 向 导 即 可 配置 WSUS 服务 器 的 相关 选项 。 
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要 重新 运行 此 问号 ， 商 宫 中 "sts 管理 "定理 元 并 转 到 -过 大 


二 过 可 | 


图 3.9 “Windows Server Update Services 配置 向 导 ” 对 话 框 


(5) 配置 WSUS 服务 器 常规 选项 


按照 默认 设置 安装 WSUS 服务 器 后 ， 必 须 经 过 详细 配置 ， 才 可 以 开始 工作 ， 包 括 设置 接 
入 Intemet 方式、 获取 更 新 方式 、 支 持 产品 分 类 、 同 步 方式 及 时 间 等 。 


01 在 “Windows Server Update Services 配置 向 导 ” 的 “在 您 开始 之 前 ”页 面 中 ， 依 次 单 击 “ 下 一 步 ” 按 
钮 ， 根 据 需要 设置 上 游 服 务 器 类 型 、 代 理 服务 器 等 ， 如 图 3.10 所 示 。 在 “选择 “上 游 服务 器 ”对 话 框 
中 ， 系 统 默认 选择 “从 Microsoft Update 进行 同步 ” 单 选 按钮 ， 即 直接 从 微软 服务 器 获取 更 新 程序 。 如 
果 网 络 中 已 经 存在 “上 游 WSUS 服务 器 ”， 则 可 以 选择 “从 其 他 Windows Server Update Services 服 
务 器 进行 同步 ” 并 在 “服务 器 名 ”文本 框 中 ， 输 入 上 游 WSUS 服务 器 的 IP 地 址 或 计算 机 名 ， 在 “ 端 
口号 ”文本 框 中 ， 输 入 上 游 WSUS 服务 器 的 端口 号 。 


了 eu Fw ss | 人 | 


图 3.10 选择 上 游 服 务 器 并 尝试 连接 
提示 “选择 本 地 网 络 的 上 游 WSUS 服务 器 时 ， 如 果 使 用 的 上 游 服务 器 使 用 了 SSL 通信 方 
县 式 ， 则 此 处 也 应 选中 “在 同步 更 新 信息 时 使 用 SSL” 复 选 框 。 需 要 注意 的 是 ， 部 署 
SSL 会 增加 WSUS 服务 器 10% 左 右 的 工作 负荷 ， 并 且 这 种 传输 加 密 机 制 仅 能 用 于 
WSUS 元 数据 通信 ， 而 并 非 是 所 有 需要 传输 的 更 新 文件 。 


67 


Ag 
属 。 Windows Server 2008 系统 安全 管理 实战 指南 


02 连接 完成 后 ， 依 次 单 击 “ 下 一 步 ”按钮 ， 设 置 更 新 包 语言 种 类 、 产 品类 型 等 ， 如 图 3.11 所 示 。WSUS 
支持 的 产品 类 型 比较 多 ， 为 了 避免 下 载 过 多 不 必要 的 更 新 ， 建议 用 户 严 格 选择 过 合 自己 的 产品 关 开 ， 更 
新 语言 包 和 种 类 的 选择 同样 如 此 。 根 据 网 络 需求 的 变化 ， 管 理 员 可 以 随时 修改 这 些 设置 。 


sm 3 | 


图 3.11 设置 更 新 包 语言 、 产 品 及 分 类 


注意 ”如果 当前 WSUS 服务 器 是 从 “上 游 ”WSUS 服务 器 更 新 ， 将 显示 “下 载 上 游 服务 
器 支持 的 所 有 语言 的 更 新 ”或 “ 仅 下 载 这 些 语言 的 更 新 (上 游 服务 器 只 支持 标 有 星 
号 的 语言 )”。 


03 依次 单 击 “下 一 步 ” 按钮 ， 设 置 同步 计划 并 完成 WSUS 服务 器 的 配置 ， 如 图 3.12 所 示 。 在 “设置 同步 
计划 ”对 话 框 中 ， 建 议 选 择 “ 自 动 方式 ” 并 将 同步 时 间 选 择 在 网 络 空闲 的 时 间 段 内 ， 各 免 影响 其 他 网 
络 应 用 。 配 置 向 导 完成 后 提示 的 后 续 步 骤 是 可 选 的 ， 管 理 员 可 以 根据 需要 选择 配置 。 
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图 3.12 配置 同步 计划 
04 单 击 “ 完 成 ”按钮 ， 完 成 配置 向 导 即 可 。 


(6) 计算 机 及 分 组 管理 
WSUS 对 客户 端的 管理 都 是 通过 分 组 的 方式 进行 的 ， 分 组 标准 非常 灵活 ， 可 以 根据 所 需 
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更 新 类 型 的 不 同 划分 , 也 可 以 根据 所 属 部 门 的 不 同 进行 划分 , 也 可 删除 多 余 分 组 ,默认 情况 下 ， 
所 有 WSUS 客户 端 都 将 存储 在 “未 分 配 的 计算 机 ”分 组 中 ， 管 理 员 可 以 根据 需要 将 其 迁移 或 
复制 到 其 他 分 组 。 

如 果 需 要 删除 计算 机 分 组 ， 可 以 在 “Update Services” 窗 口中 ， 右 击 分 组 名 称 ， 选 择 快捷 
菜单 中 的 “删除 ” 打开 如 图 3.13 所 示 “ 删 除 计算 机 组 ”对 话 框 。 这 里 包括 3 个 单 选 按钮 : 


里 从 此 组 中 删除 计算 机 : 只 删除 当前 分 组 中 的 计算 机 , 而 不 会 影响 到 计算 机 在 其 他 分 组 中 
的 存在 和 应 用 ; 

里 将 计算 机 移 到 此 组 的 父 组 中 :将 组 中 的 计算 机 移动 到 其 父 组 中 ,由 于 当前 组 的 父 组 是 所 
有 计算 机 "， 默 认 已 经 存在 该 计算 机 ， 所 以 不 可 操作 ; 

里 从 此 WSUS 服务 器 中 删除 计算 机 : 彻底 删除 本 组 的 计算 机 ， 如 果 其 他 分 组 中 也 有 该 计 
算 机 则 一 同 删 除 。 


正确 配置 WSUS 客户 端 后 ， 服 务 器 将 自动 发 现 这 些 客户 机 ， 显 示 在 “未 分 配 的 计算 机 ” 
分 组 中 ， 如 图 3.14 所 示 。 如 果 没 有 立即 显示 ， 可 以 尝试 刷新 一 下 服务 器 ， 或 者 在 “状态 ”下 
拉 列 表 中 选择 适当 的 状态 ， 如 “任何 ”等 。 


UP 
记 四 
Me NES 9 


您 希望 如 何 处 理 此 组 及 其 子 组 中 的 计算 机 ? 
® 
人 将 计算 机 将 到 此 组 的 多 8 让 0 

个 从 此 NSUS 服务 器 中 时 队 计算 机 0 


Lasw] | 


图 3.13 “删除 计算 机 分 组 ”对 话 杠 图 3.14 发 现 的 客户 端 计算 机 
如 果 接 受 管理 的 WSUS 客户 端 数 量 较 多 ， 则 可 以 通过 “搜索 ”功能 快速 查找 指定 的 计算 机 。 
提示 


也 如 果 使 用 客户 端 计算 机 上 的 组 策略 或 注册 表 设置 管理 客户 端 ， 则 无 法 完成 此 设置 。 


3. 同步 和 管理 更 新 

(1) 执行 同步 

“同步 ”就 是 当前 WSUS 服务 器 从 Microsoft Update 站 点 或 其 上 游 WSUS 服务 器 获取 所 
需 更 新 的 过 程 ， 用 户 可 以 通过 手动 同步 和 自动 同步 两 种 方式 来 实现 。 如 果 采 用 每 天 定时 同步 ， 
则 根据 自己 企业 的 外 部 网 络 访问 情况 来 决定 何 时 进行 同步 ,应 计划 为 外 部 网 络 访问 活动 较 少 的 
时 段 ， 例 如 凌晨 。 如 果 网 络 带宽 资源 紧张 ， 则 可 以 保持 默认 的 手动 同步 方式 。 

执行 WSUS 服务 器 同步 是 一 项 非常 关键 的 操作 ， 如 果 制 定 了 同步 计划 ， 只 需 打 开 计算 机 系统 
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就 会 自动 完成 ， 当 然 也 可 以 采取 手动 的 方式 。 右 击 “ 同 步 ”并 选择 快捷 菜单 中 的 “立即 同步 ”或 
者 在 “操作 ”选项 框 中 单 击 “ 立 即 同 步 ”链接 ， 即 可 开始 同步 ， 如 图 3.15 所 示 。 需 要 注意 的 是 ， 
在 同步 过 程 中 将 不 会 显示 同步 开始 的 时 间 、 同 步 类 型 、 结 果 等 信息 ， 但 是 可 以 在 下 面 的 信息 提示 
框 中 查看 到 当前 的 同步 进度 。 同 步 过程 中 如 需 停止 ， 则 单 击 “停止 同步 ”链接 即 可 。 


CT :9 
BEDE TE la 
各 中 | 下 全 


可 
3 
Er Po 
mm Him 
JR 可 
mm bd 
Rn a 
有 em 
3 bs 
en 
和 Bm 
mn 
短 


图 3.15 正在 同步 
(2 ) 查看 和 管理 更 新 程序 


在 “Update Services” 窗 口中 ， 展 开 “ 同 步 ”分 支 ， 将 自动 显示 最 近 完成 的 几 次 同步 信息 ， 
如 图 3.16 所 示 ， 包 括 同步 启动 时 间 、 完 成 时 间 、 类 型 、 结 果 等 。 在 更 新 结果 列表 中 单 击 某 一 
次 同步 记录 时 ， 即 可 在 下 面 信息 窗口 中 显示 此 次 同步 的 详细 情况 。 

WSUS 服务 器 的 同步 报告 信息 当然 不 会 像 这 里 显示 的 这 样 简单 ， 右 击 同步 记录 并 选择 快 
捷 菜 单 中 的 “同步 报告 ” 即 可 查看 所 选 同步 的 详细 信息 ， 如 图 3.17 所 示 。 其 中 包括 同步 摘要 
信息 以 及 此 次 同步 中 新 的 更 新 程序 、 修 改 更 新 和 过 期 更 新 等 。 


ETTET 


四 "EERE 寺 二 在 二] 


图 3.16 查看 同步 信息 图 3.17 “同步 报告 ”窗口 


除 此 之 外 ,管理 员 还 可 以 查看 此 次 同步 中 某 个 更 新 的 详细 信息 ， 单 击 希望 查看 的 更 新 ， 打 
如 图 3.18 所 示 “ 更 新 报告 ”窗口 ， 其 中 包括 该 更 新 的 描述 信息 、 所 属 类 型 、 发 布 日 期 等 党 
用 信息 。 这 恰恰 是 判断 一 个 更 新 是 否 对 客户 端 有 用 的 有 效 途 径 。 例 如 在 通过 Windows 自动 更 
新 为 自己 的 计算 机 安装 已 下 载 的 更 新 时 ,往往 要 先 看 清 它 的 描述 信息 ,可 以 弥补 哪些 漏洞 , 安 
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装 之 后 会 产生 什么 影响 等 。 
饼 唱 揣 独 WW 猪 题 可 尖 乒 四 
窒 已 括 未 自 这 些 弓 的 计算 机 5) 任 可 寺 笠 村 诅 
国 包 活 具有 以 下 捧 志 的 计算 机 避 ) 4 


居 包括 末 自 副本 下 克 弛 务 器 4 尖 态 P) 。 | 所 有 副本 下 游 邓 和 器 可 
CE a re DR 
” 接 丰 现 已 确认 有 一 个 支 主 间 是 ， 攻 十 青 可 能 会 利用 此 | 
主 并 某 取 对 读 革 过 委 汶 证 权 。 十 寺 安 半 ficrosofy 提 


和 本 更 杀 各 床 ， 可 以 
喜 助 念 全 扩 计 其 机 * 支 革 本 更 大 程序 之 后 ， 可 能 委 要 重 有 让 zh 其 机 


续 二 
A Tinavs Vista 
SM 严重 圭 胃 本 

TS 纺 -0 


曲 以 下 内 吾 的 审 竹 拟 委 : 任何 计算 机 组 
组 了 : EN 和 
所 有 计算 机 EE 无 VEE Server 
未 分 本 的 计算 机 的 无 具有 9) YEE Serve 
( 人 旺 crosoft Wists 安全 更 新 程序 CD935729) 的 扰 态 摘要 
- [2 0 台 计 莽 抽 上 
0 生机 
四 0 台 计 算 机 上 /下 运用 于 这 此 其 机 
图 0 台 计 算 机 必 有 更 六 坟 访 


图 3.18 “更 新 报告” 窗口 
4. 为 客户 端 审批 更 新 
(1 ) 创建 审批 规则 


和 角 及 Tintom 系 半 站 
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在 WSUS 主 窗口 的 “选项 ”列表 中 ， 单 击 “ 自 动 审 批 ”链接 ， 显 示 如 图 3.19 所 示 “ 自 动 
审批 ”对 话 框 。 在 这 里 即 可 对 WSUS 服务 器 的 自动 批准 规则 进行 设置 ， 如 添加 某 项 新 规则 、 
删除 或 编辑 现 有 规则 等 。 默 认 情况 下 ，WSUS 服务 器 是 不 运行 任何 自动 审批 规则 的 ， 即 完全 
由 管理 员 手动 审批 完成 。 通 过 启用 自动 审批 功能 ， 可 以 将 特定 的 分 类 和 产品 类 型 的 更 新 ， 审 批 
到 指定 的 客户 端 , 这 样 可 以 大 大 减轻 管理 员 的 工作 负担 , 但 仅 限于 可 靠 性 较 高 的 更 新 。 为 避免 
安装 更 新 之 后 可 能 导致 的 各 种 麻烦 ,建议 审批 之 前 进行 严格 测试 ,确认 无 误 后 再 审批 到 客户 端 。 


更 新 规则 | 高 级 | 
油 机 ER 在下 a 有 3 更 新 。 


闲 建 规则 0 ， 编辑 也) 芭 山 作 0) 三 行 议 吕 忆 ) 


图 3.19 “自动 审批 ”对 话 框 


| 
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01 单 击 “ 新 建 规则 ” 按钮， 显示 如 图 3.20 所 示 “ 添 2 在 “步骤 2: 编辑 属性 ”编辑 分 类 选项 框 中 ， 

加 规则 ”对 话 框 。 首 先 在 “步骤 1: 选择 属性 ”选项 框 ” 还 可 以 对 选 定 的 分 类 进行 详细 编辑 。 例 如 单 击 “ 任 
中 ， 选 择 希 望 用 于 批准 特定 分 类 更 新 还 是 审批 用 于 特 ” 何 分 类 ”超级 链接 ， 打 开 如 图 3.21 所 示 “ 选 择 “ 更 
定 产品 的 更 新 ， 选 中 某 一 项 前 面 的 复 选 框 的 同时 ， 在 ”新 分 类 ” ”对话 框 。 默 认 状 态 下 ， 列 表 中 的 所 有 产品 
“步骤 2: 编辑 属性 ”选项 框 中 也 会 自动 增加 针对 该 项 “都 是 被 选中 的 ， 有 些 产品 类 型 并 不 是 需要 的 ， 只 需 
的 详细 设置 ; 在 “步骤 3: 指定 名 称 ”文本 框 中 输入 新 ”在 这 里 将 其 取消 即 可 。 单 击 “ 确 定 ”按钮 保存 设置 


规则 的 名 称 。 并 返回 “自动 审批 ”对 话 框 。 
志和 应 选择 要 包括 的 分 类 - 
1 G) | 
回 当 更 新 属于 特定 分 类 时 


4 
回 当 更 新 属于 特定 产品 时 回 Faatwre Pack 


2 
当 更 新 属于 任何 分 类 时 
当 更 新 属于 任 但 产品 时 
为 所 有 计算 机 审批 更 新 


图 3.20 “添加 规则 ”对 话 框 图 3.21 “选择 “更 新 分 类 ”对话 杠 


03 选中 成 功 创建 的 审批 规则 后 ， 单 击 “运行 规则 ” 04 单 击 “ 是 ”按钮 即 可 开始 运行 ， 此 时 WSUS 
按钮 ， 打 开 如 图 3.22 所 示 “ 运 行规 则 ”提示 框 ， 提 示 ”服务 器 会 根据 所 选 自 动 批准 规则 中 的 限制 和 过 滤 条 
用 户 启用 规则 之 前 需要 先进 行 保 存 ， 是 否 要 继续 。 件 ， 第 选 可 用 的 更 新 安装 程序 ， 可 能 需要 等 待 一 段 

时 间 。 成 功 完成 后 ， 显 示 如 图 3.23 所 示 结 果 ， 提 示 


被 自动 批准 的 更 新 的 数量 。 
已 审批 272 个 更 新 。 


(?) 直行 Iy 之 前 村 并 集 
et 


sw | mw | 


图 3.22 “运行 规则 ”提示 框 图 3.23 “正在 运行 规则 ”提示 框 


在 “自动 审批 ” 对 话 框 中 ， 单 击 “高级” 切 
换 至 如 图 3.24 所 示 “ 高 级 ”选项 卡 ， 默 认 情况 
下 ， 系 统 自动 审批 WSUS 更 新 和 更 新 修订 ， 并 
自动 拒绝 过 期 的 更 新 ,用 户 也 可 以 根据 实际 需要 
暂时 将 其 取消 。 


图 3.24 “高 级 ”选项 卡 
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(2) 审批 更 新 


审批 更 新 是 指 管理 员 在 WSUS 服务 器 上 配置 ， 允 许 或 拒绝 分 发 到 客户 端的 更 新 程序 。 管 
理 员 可 以 根据 需要 为 所 有 计算 机 或 特定 计算 机 组 审批 更 新 ， 并 设置 WSUS 安装 更 新 的 最 后 期 
限 。 对 于 不 适用 于 指定 客户 端的 更 新 ， 也 可 以 选择 拒绝 审批 或 删除 。 


0 1 在 更 新 程序 详细 信息 窗口 中 (以 “所 有 更 新 ”为 例 )， 右 击 需 要 审批 的 更 新 并 选择 快捷 菜单 中 的 “审批 ” 
打开 如 图 3.25 所 示 “ 审 批 更 新 ”对 话 框 。 

0 2 单 击 需要 安装 该 更 新 的 计算 机 分 组 ， 选 择 下 拉 菜单 中 的 “已 审批 进行 安装 % 即 可 将 更 新 审批 到 该 组 中 
的 所 有 计算 机 ， 如 图 3.26 所 示 。 黑 认 情 况 下 ， 分 组 将 自动 继承 其 父 分 组 的 审批 设置 。 
昌 已 审批 进行 安装 。 客 户 端 将 直接 安装 该 更 新 ; 
四 已 审批 进行 删除 。 如 果 该 更 新 是 允许 删除 的 ， 则 客户 端 将 自动 删除 该 更 新 程序 ; 
昌 未 审批 。 客 户 端 既 不 安装 也 不 删除 更 新 。 

IT x [i 


语调 At 列表 中 生计 组 ， 曲 击 和 关 ， 江 后汉。 本 调和 刘 ， 间 重头， 然后 并 慈 型。 
加 了 Hi E23 无 
网 示 分 Rs 计算 机 雪 装 师承 的 无 摊 ) 国术 分 R$ 计 基 机 吉 装 蝇 生 的 无 地 和 和) 
@ et 吉 装 全 承 的 】 无 噶 和 89) 
ERROR 
未 埋 批 0 Ctrl 
上 
| 国 尚未 下 载 此 更 新 的 文件 * 可 以 审批 此 更 新 ， 但 在 下 载 完成 后 计算 机 才能 使 用 该 更 新 。 加 时 与 对 相 可 癌 已 本 玉 。 新， 但 在 下 载 完 成 后 计算 机 才能 使 用 该 更 新 。 
态 有 到 了 到 加 | prey 
mw 有 | Ca |] _ ww | 
图 3.25 “审批 更 新 ”对 话 杠 图 3.26 将 更 新 审批 分 组 


(03 定 批 安装 之 后 分 组 前 的 图 标 将 显示 为 绿色 , 继 ”04 选择 菜单 中 的 “ 自 定义 ”， 打 开 如 图 3.28 所 示 

续 单 击 该 图 标 并 选择 菜单 中 的 “最 后 期 限 ” 选择 希 “选择 最 后 期 限 ”对 话 框 。 在 “日 期 ”和 “时 间 ” 

望 设置 的 期 限 即 可 ， 如 图 3.27 所 示 。 默 认为 无 最 后 ”文本 框 中 ， 设 置 适 当 的 期 限 限 制 即 可 。 超 出 时 间 限 

期 限 ， 即 自 WSUS 服务 器 发 布 更 新 之 日 起 ， 客 户 端 ” 制 后 ， 客 户 端 将 无 法 检测 和 接收 该 更 新 。 

可 以 在 任何 时 间接 收 更 新 。 
村 后 


En 
了 有 有 计算 机 Er 天 
硬 本 未 分 本 A 计算 机 去 装 量 夭 的 ) 无 只 征 的 ) 


选择 最 后 期 限 


选择 更 新 审批 最 后 期 限 * 
日 期 辐 : 隔年 月 17 日 了 


时 间 品 ): Fr 10:37 习 


Cw |] a | 


图 3.27 设置 最 后 期 限 图 3.28 “选择 最 后 期 限 ”对 话 杠 


0 5 连续 单 击 “ 确 定 ”按钮 ， 显 示 如 图 3.29 所 示 “ 审 批 进度 ”对 话 框 ， 根 据 审批 更 新 数量 的 不 同 ， 所 需 时 
间 也 会 有 所 不 同 。 如 果 出 现 错误 ， 审 批 结果 中 会 显示 为 “失败 ”。 
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06 单 击 “ 关 闭 ” 按钮， 关闭 “审批 进度 ”对 话 框 ， 返 回 “Update Services” 窗 口 。 


审批 进度 | 
审批 完成， 并且 没 有 出 现 绒 吴 。 请 戎 见 下 硬 的 详细 信息 。 


正在 sa 更 新 程序 03355020) 安装 到 
PA Wists 更 新 程序 _ 009..， 成功 


BE)| a 
图 3.29 “审批 进度 ”对 话 框 


(3 ) 拒绝 更 新 


如 果 某 个 更 新 不 再 适用 于 当前 网 络 , 则 可 以 在 WSUS 服务 器 的 更 新 管理 窗口 中 将 其 拒绝 。 
在 拒绝 更 新 时 ， 默 认 情况 下 ,“ 更 新 ”窗口 中 不 再 显示 ， 并 且 无 法 对 其 进行 审批 ， 只 能 在 “更 
新 ”窗口 中 查看 被 拒绝 的 更 新 。 


01 右 击 想 要 拒绝 的 更 新 ， 并 选择 快捷 菜单 中 的 “ 拒 上 2 单 击 “是 ”按钮 ， 确 认 拒绝 即 可 。 等 待 一 段 时 
绝 ” 选 项 ， 显 示 如 图 3.30 所 示 “ 拒 绝 更 新 ”对 话 框 。 ”间或 单 击 工具 栏 中 的 “刷新 ”按钮 ， 即 可 发 现 该 更 
新 程序 的 “审批 ”状态 已 变 为 “已 拒绝 ”， 如 图 3.31 
所 示 。 


人 让 半 ee 由 二 上 Wista 中 


i 


Law |] so | ms | 


3.30 “拒绝 更 新 ”对 话 框 


5. 配置 WSUS 客户 端 


凡是 具备 自动 更 新 功能 的 Windows 操作 系统 ， 都 可 以 配置 为 WSUS 客户 端 。 根 据 客户 端 
计算 机 所 在 网 络 环境 的 不 同 ， 可 以 采取 不 同 的 配置 方法 。 在 域 环境 中 ， 可 以 使 用 组 策略 对 象 
(GPO) 完成 ; 在 工作 组 环境 中 ， 可 以 使 用 本 地 组 策略 对 象 或 者 直接 修改 注册 表 完成 。 需 要 
注意 的 是 ， 将 计算 机 配置 为 WSUS 客户 端 后 ， 客 户 端 计算 机 “控制 面板 ”中 的 自动 更 新 就 会 
失效 。 
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如 果 通 过 组 策略 为 Active Directory 网 络 中 的 计算 机 指定 WSUS 升级 服务 器 的 地 址 , 需要 在 包 
括 网 络 中 所 有 计算 机 的 “组 织 单元 ”或 其 上 一 级 “组 织 单元 ”中 配置 组 策略 ， 或 者 将 需要 更 新 的 
计算 机 “移动 ”到 一 个 新 创建 的 “组 织 单元 ”中 ， 然 后 再 对 该 组 中 的 所 有 计算 机 进行 操作 。 


四 1 新建 一 个 用 于 保存 所 有 WSUS 客户 端 计算 机 的 组 织 单位 ， 当 然 也 可 以 使 用 Active Directory 默认 提供 的 


组 织 单位 。 


0 2 使 用 新 建 计算 机 的 方法 将 客户 端 计 算 机 添加 到 指定 的 组 织 单位 中 ， 也 可 以 从 其 他 组 织 单位 中 直接 拖 搜 。 
0 3 依次 选择 “开始 ”一 “管理 工具 ”一 “组 策略 管理 ”选项 ， 打 开 “ 组 策略 管理 ”窗口 ， 依 次 展开 “ 林 ” 
一 “ 域 ”一 “company.com” 选 项 一 “test (新 建 的 组 织 单位 ) ”选项 。 


04 右 击 “test” 并 选择 快捷 菜单 中 的 “在 这 个 域 中 创 
建 GP0 并 在 此 处 链接 ”选项 ,打开 如 图 3.32 所 示 “ 新 
建 GP0” 对 话 框 ， 在 “名 称 ”文本 框 中 ， 输 入 便于 识 
别 的 名 称 。 


名 称 如 ; 
ws 


源 Starter GP0G): 


[I® 习 
Cm] ms | 


图 3.32 


“新 建 GP0” 对 话 杠 


06 双击 “配置 自动 更 新 ”选项 ， 打 开 如 图 3.34 所 
示 “ 配 置 自动 更 新 属性 ”对 话 框 ， 先 选中 “已 启用 ” 
单 选 按钮 激活 下 面 的 选项 ， 然 后 在 “配置 自动 更 新 ” 
右 侧 的 下 拉 列 表 中 选择 对 应 的 自动 更 新 类 型 ， 共 有 
2~5 四 种 类 型 ， 当 选择 第 4 种 类 型 “自动 下 载 并 计划 
安装 ” 即 自动 下 载 更 新 并 计划 安装 时 还 要 继续 设置 
“计划 安装 日 期 ”和 “计划 安装 时 间 ” 选 项 ， 指 定 执 
安装 的 时 间 和 日 期 。 设置 完成 后 单 击 “ 应 用 ”和 “ 确 
”按钮 保存 设置 。 


行 
定 


05 右 击 新 建 的 GP0 并 选择 快捷 菜单 中 的 “编辑 ” 
选项 , 打开 如 图 3.33 所 示 “ 组 策略 管理 编辑 器 ” 窗 
口 。 依 次 展开 “计算 机 配置 ”一 “策略 ”一 “管理 
模板 ”一 “Windows 组 件 ” 一 “Windows Update” 
分 支 ， 即 可 看 到 所 有 的 设置 选项 ， 默 认 都 是 未 被 配 


EET] 
Cr EE IE 


A 
Ps Eee Rare 重新 


图 3.33 ”对 应 策略 所 在 目录 


07 双击 “指定 Intranet Microsoft 更 新 服务 位 置 ” 
策略 ， 显 示 如 图 3.35 所 示 “ 指 定 Internet Microsoft 
更 新 服务 位 置 属性 ”对 话 框 。 选 中 “已 启用 ” 单 选 
按钮 ,然后 在 “设置 检测 更 新 的 Intranet 更 新 服务 ” 
文本 框 中 , 指定 局 域 网 中 的 WSUS 服务 器 地 址 , 在 
“设置 Intranet 统计 服务 器 ”文本 框 中 ， 指 定 用 于 
获取 客户 端 状态 信息 的 服务 器 地 址 ， 本 例 中 使 用 的 
是 一 合 服务 器 。 如 果 网 络 中 的 WSUS 服务 器 和 统计 
报表 服务 器 (只 用 于 获取 客户 端的 状态 和 需求 信息 ) 
分 别 是 不 同 的 服务 器 ， 则 此 处 指定 时 应 十 分 注意 。 
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配置 自动 更 新 属性 Hx 


指定 Intranet 


Nicrosoft 更新 服务 位 置 属性 
证 | 亢 | 
[ep Intranet 及 crosoft 更 新 服务 位 置 


个 未 本 置信 ) 
他 已 记 用 吕 ) 
个 已 慕 用 由) 


设置 检测 更 新 的 Intranet 更 新 服务 ， 
upse lstlil 
设置 Intranet 统计 服务 器 : 
ps te nd 
(MM; http://Tntranettpanl) 


支持 于 : ED Microsoft Windows 2000 Service Pack ... 支持 于 : BD Microsoft Windons 2000 Service Pack 
上 一 个 设置 中 ) 下 一 个 设置 人 上 一 个 设置 中) 下 一 个 设置 中 
取消 ”| _ 应 用 凡 ) 
图 3.34 启用 自动 更 新 功能 图 3.35 “指定 Internet Microsoft 更 新 服务 位 置 属性 ” 
对 话 杠 


注意 ”设置 这 两 条 策略 的 顺序 千 万 不 可 颠倒 ， 和 否则 将 不 会 生效 ， 即 必须 先 启用 “配置 自动 
更 新 ”， 然 后 才 可 以 设置 WSUS 服务 器 地 址 。 


0 8 保存 组 策略 编辑 结果 即 可 。 其 他 组 策略 现象 用 户 也 可 以 根据 需要 进行 修改 。 由 于 组 策略 的 刷新 和 应 用 需 
要 一 定 的 时 间 ， 所 以 保存 编辑 结果 后 即使 客户 端 重新 登录 域 控 制 器 也 可 能 无 法 立即 联系 到 WSUS 服务 
器 。 而 默认 情况 下 , 每 隔 90min 计算 机 组 策略 便 会 在 后 合 刷新 一 次 , 刷新 的 时 间 可 能 随机 偏 移 0~30min， 
客户 端 计 算 机 要 在 域 控制 器 刷新 组 策略 20min 后 才 可 以 应 用 到 组 策略 。 如 果 想 要 以 更 快 的 速度 刷新 组 策 
略 ， 可 以 在 服务 器 端 设 置 组 策略 后 ， 通 过 运行 gpupdate 命令 让 设置 即时 生效 ， 并 在 客户 端 计算 机 通过 
运行 gpupdate/force 命令 立刻 生效 。 如 果 计 算 机 不 是 Active Directory 的 成 员 , 可 以 通过 输入 wuauclt.exe 
/detectnow 来 消除 20min 的 延 时 。 


(2 ) 通过 本 地 策略 配置 


通过 组 策略 或 本 地 策略 编辑 器 配置 WSUS 客户 端 ， 是 最 常用 的 方法 之 一 。 对 于 域 环境 中 
的 计算 机 ,用 户 可 以 在 域 控制 器 上 创建 应 用 于 需要 配置 客户 端的 组 策略 ， 并 进行 相应 编辑 ; 而 


工作 组 中 的 计算 机 则 可 以 通过 修改 本 地 策略 使 其 成 为 WSUS 客户 端 。 此 处 ， 以 工作 组 环境 中 


计算 机 ， 依 次 单 击 “ 开 始 ” 一 “所 有 程 ” [号 渤 加 | 


序 ” 一 “附件 ”一 “运行 ” 打开 如 图 3.36 所 示 “ 运 行 ” 1 window 格 有 所 夫 入 的 名 条 ,为 打开 相 内 的 得 


一 文件 夫 . 文档 吉 Internet 资源 


对 话 框 ， 在 “打开 ”文本 框 中 输入 “gpedit msc”， 并 单 击 
“确定 ” 按钮， 打开 “策略 对 象 编辑 器 ”窗口 。 除 此 之 外 ， 
也 可 以 在 “开始 ”菜单 中 的 “开始 搜索 ”文本 框 中 , 输入 | 
“gpeditmsc” 并 回 车 打开 “策略 对 象 编辑 器 ”窗口 。 


打开 O): gpeditmsc 
雹 ”符合 用 竺 理 权 了 创建 此 任务 ， 


3.36 “运行 ”对 话 杠 
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2 在 “组 策略 对 象 编辑 器 ”窗口 中 ， 依 次 展开 “ 计 “3 配置 完 WSUS 客户 端 后 ， 在 Windows 目录 下 
算 机 配置 ”一 “管理 模板 ”一 “Windows 组 件 ” 一 ”会 生成 windowsupdate.log 文件 ， 通 过 它 可 以 看 到 
“Windows Update” 选项， 如 图 3.37 所 示 。 与 配置 域 ”此 客户 端 是 从 何 处 升级 的 补丁 以 及 升级 了 哪些 补 
组 策略 完全 相同 , 需要 依次 配置 “配置 自动 更 新 ”和 “ 指 ” 丁 ， 如 图 3.38 所 示 。 

定 Intranet Microsoft 更 新 服务 位 置 属性 ”策略 , 配置 过 

程 此 处 不 再 发 述 。 


图 3.37 “组 策略 对 象 编辑 器 ”窗口 


此 时 ,可 以 按照 如 下 步骤 导出 相关 键 值 , 然 后 在 需要 部 署 的 计算 机 上 重新 导入 即 可 。 


04 打开 注册 表 编 辑 器 窗口 ， 依 次 展开 05 在 其 他 需要 部 署 WSUS 客户 端的 计算 机 上 , 双 
“HKEY_LOCAL_MACHINE” 一 “SOFTWARE” 一 。 击 运行 导出 的 注册 表 文 件 ， 显 示 如 图 3.40 所 示 “ 注 
“ Policies ”一 “ Microsoft ”一 “Windows ”一 “ 册 表 编辑 器 ”对 话 框 。 

“WindowsUpdate” 分 支 ， 右 击 “WindowsUpdate” 

并 选择 快捷 菜单 中 的 “导出 ”选项 ， 将 其 保存 到 本 地 

计算 机 上 ， 如 图 3.39 所 示 。 


haps224634 
pt1a22163 


ES 局 


更 Sr 可 和 隆信 并 写 到 组 件 无 法 继 六 下 入 工作 ， 如 果 亿 不 信任 DA 达 面 | 


图 3.40 “注册 表 编辑 器 ”对 话 杠 
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统 漏洞 并 不 可 怕 ， 关 键 在 于 如 何 预防 系统 漏洞 导致 的 入 侵 事件 。 因 此 ， 管 理 员 应 该 对 漏洞 的 生 人 看 


小 结 


漏洞 在 任何 操作 系统 中 都 是 不 可 避免 的 ， 并 且 会 随 着 用 户 的 不 断 应 用 而 出 现 更 多 的 漏洞 。 系 


周期 有 所 了 解 ， 尽 量 在 初期 完善 各 种 预防 工作 ， 如 果 已 经 出 现 借助 漏洞 传播 的 病毒 ， 便 难于 防范 
了 。 发 现 漏洞 后 切 不 可 听 之 任 之 ， 必 须 及 时 采取 相应 的 修补 措施 ， 应 对 系统 漏洞 最 有 效 的 方法 就 
是 指定 详细 的 修补 策略 ， 并 及 时 修补 漏洞 。 漏 洞 除了 系统 〈 硬 件 、 软 件 ) 本身 固 有 的 缺陷 之 外 ， 
还 包括 用 户 的 不 正当 配置 、 管 理 以 及 制度 上 的 风险 ， 或 其 他 非 技术 性 因素 造成 的 系统 不 安全 性 。 
修补 系统 漏洞 是 发 现 漏洞 后 的 第 一 要 务 ， 选 择 一 款 好 用 的 漏洞 修补 工具 是 非常 重要 的 。 


78 


1. 什么 是 系统 漏洞 ? 简 述 你 遇 到 过 的 系统 漏洞 ， 总 结 一 下 都 有 哪些 特性 ? 
2. 漏洞 修补 的 方法 有 哪些 ? 

3. 为 什么 要 进行 漏洞 扫描 ， 选 择 扫描 工具 时 应 注意 哪些 问题 ? 

4. 简 述 MBSA 支持 的 漏洞 扫描 模式 。 


实验 : 使 用 MBSA 扫描 IIS 漏 泪 


实验 目的 

熟练 运用 MBSA 扫描 本 地 系统 和 应 用 程序 的 漏洞 。 

实验 内 容 

MBSA 是 系统 漏洞 扫描 的 必 备 工具 ,而 IS 是 最 常用 的 服务 组 件 之 一 。 为 确保 服务 器 的 安 
应 经 常 对 其 进行 漏洞 扫描 。 


1. 在 本 地 计算 机 上 安装 最 新 版 MBSA 应 用 程序 。 

2. 启动 MBSA， 在 扫描 任务 中 选择 检测 本 地 IS 组 件 漏洞 。 

3. 执行 扫描 。 

4. 查看 扫描 结果 ， 按 照 给 定 的 修补 方案 ， 及 时 修改 相应 配置 ， 或 者 安装 系统 补丁 。 


大 大 < 
中 等 早 


活动 目录 安全 


Active Directory 又 称 活动 目录 ， 是 Windows Server 系统 中 非常 重要 的 服 
务 之 一 ， 可 用 于 管理 网 络 中 的 用 户 ， 如 计算 机 、 打 印 机 或 应 用 程序 等 资源 。 活 
动 目录 结构 及 其 数据 是 Windows 域 中 的 关键 部 分 ， 执 行 恰当 的 安全 和 授权 措 
施 是 非常 必要 的 。 在 网 络 中 部 署 Active Directory 服务 ， 可 以 对 所 有 网 络 用 户 
进行 逻辑 划分 ， 根 据 不 同 的 身份 赋予 其 相应 的 访问 权限 。Windows Server 2008 
系统 中 的 活动 目录 服务 ， 在 增强 原 有 特性 的 同时 ， 增 加 了 许多 新 功能 ， 如 只 读 
域 控制 器 、 可 重启 的 活动 目录 域 服务 等 。 


本 章 导 读 

国 AD DS 安全 基本 原理 

量 有效 权限 的 计算 与 检索 

旧 创建 信任 关系 

量 权限 委派 

加 Active Directory 数据 库 的 备份 与 恢复 


Ry 
属 Windows Server 2008 系统 安全 管理 实战 指南 


4.1 AD DS 安全 概述 


活动 目录 域 服务 (Active Directory Domain Services, 简称 AD DS) 是 Windows Server 2008 
中 的 新 增 功能 ， 可 以 帮助 管理 员 更 好 地 部 署 安全 审核 策略 、 只 读 域 控制 器 、 维 护 域 控制 器 等 。 


4.1.1 AD DS 安全 基本 原理 


Windows Server 2008 中 的 AD DS 绝 非 仅仅 是 名 称 上 的 改动 ， 引 进 这 一 功能 的 主要 目的 就 
是 提升 Active Directory 的 安全 性 。 实 施 活动 目录 安全 措施 之 前 ,建议 用 户 对 AD DS 的 基本 安 
全 原理 加 以 了 解 ， 主 要 包括 安全 主体 、 访 问 控 制 列表 、 访 问 口 令 、 认 证 和 授权 。 


1. 安全 主体 


安全 主体 是 所 有 可 以 被 认证 的 AD DS 对 象 ， 其 中 包括 用 户 帐 户 、 计 算 机 帐户 等 。 安 全 主 
体 是 AD DS 中 唯一 可 以 被 授权 访问 资源 的 对 象 。 

创建 安全 主体 的 同时 ， 还 会 为 其 分 配 一 个 安全 标识 符 (SID)， 该 SID 在 域 中 是 唯一 的 。 
将 权限 委派 给 用 户 、 组 、 服 务 或 者 计算 机 ， 实 际 上 是 将 权限 委派 给 SID 的 “友好 名 称 ” 以 用 
户 帐户 liuxh 为 例 ， 其 “友好 名 称 ” 为 liuxh。 但 是 Windows 和 AD DS 都 使 用 与 该 用 户 帐户 相 
关 的 SID 管理 权限 和 访问 控制 。 管 理 员 更 改 用 户 帐户 名 称 时 ， 其 SID 并 未 发 生变 化 ， 所 以 其 
原 有 的 权限 和 权利 均 不 会 发 生变 化 ， 使 网 络 管理 更 加 灵活 。 

SID 由 两 部 分 组 成 : 域 标识 符 和 相对 标识 符 RID)。 域 标识 符 和 域内 所 有 的 安全 主体 相同 。 
RID 在 AD DS 中 对 每 个 安全 主体 来 说 都 是 唯一 的 。 SID 都 带 有 前 级 S, 表明 其 是 一 个 安全 标识 符 ， 
末尾 是 一 个 相对 标识 符 〈Relative Identifier，RID)， 中 间 是 标志 符 的 子 颁 发 机 构 0 个 或 几 个 )。 
安全 标识 符 的 第 二 位 是 修订 版 本 编号 ， 通 常 为 1。 安 全 标识 符 的 基本 组 成 如 图 4.1 所 示 。 


大 写字 
母 S 


一 修订 级 别 
| 一、 颁发 机 构 
第 一 个 子 
一 ”| 需 改 机构 
其 会 了 而 
区 
相对 标 
识 符 


图 4.1 安全 标识 符 的 结构 和 组 成 部 分 
安全 标识 符 中 ，S-1 后 面 的 部 分 往往 会 有 所 不 同 ， 但 都 是 以 颁发 机 构 代码 开始 ， 用 于 表示 
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安全 标识 符 的 发 行 机构 。 表 4.1 中 是 常用 的 安全 标识 符 颁 发 机 构 代码 。 
表 4.1 安全 标识 符 颁发 机 构 代码 
标识 符 颁发 机 构 描 述 


0 SECURITY NULL SID_ AUTHORITY 用 于 当 颁 发 机 构 不 可 知 时 


1 SECURITY LOCAL SID AUTHORITY 用 于 创建 代表 所 有 用 户 的 安全 标识 符 ,例如 ， 所 有 用 户 组 的 安 
全 标识 符 是 S-1-1-0， 由 通用 标识 符 0 和 颁发 机 构 组 合 而 成 ， 其 表示 所 有 该 机 构 的 用 户 


Ce 


SECURITY LOCAL SID AUTHORITY 用 来 创建 代表 本 地 终端 的 登录 用 户 的 安全 标识 符 

3 SECRUITY_CREATOR_SID_AUTHORITY 用 来 创建 代表 某 个 对 象 的 创建 者 或 是 所 有 者 的 安全 标识 符 ， 
例如 , 文件 所 有 者 的 安全 标识 符 是 $-1-3-0, 其 是 由 创建 者 或 所 有 者 的 相对 标识 符 0 和 颁发 机 构 组 合 而 成 
的 ; S-1-3-0 用 在 可 继承 的 访问 控制 列表 中 ， 在 继承 该 列表 的 子 对 象 里 ， 其 会 被 所 有 者 的 安全 标识 符 所 代 
蔡 ; S-1-3-1 是 文件 所 有 者 的 安全 标识 符 ， 其 也 有 同样 的 作用 ， 不 过 其 安全 标识 符 来 自 创 建 者 的 主要 组 


5 SECURITY_NT_AUTHORITY 这 是 操作 系统 本 身 ; 以 S-1-5 开头 的 安全 标识 符 是 由 计算 机 或 域 发 布 的 ， 
几乎 所 有 这 样 的 安全 标识 符 都 有 带 有 S-1-5 


安全 描述 符 的 颁发 机 构 还 可 以 包含 子 颁发 机 构 。 在 实际 应 用 中 , 对 于 内 置 和 预定 义 安全 标 
识 符 ， 仅 有 2~3 层 子 颁发 机 构 ， 对 于 其 他 安全 主体 的 安全 标识 符 ， 颁 发 机 构 的 数目 限制 为 5 
个 ， 子 颁发 机 构 的 限制 为 4 层 。 表 4.2 中 列 出 了 常见 的 子 颁 发 机 构 。 


表 4.2 常见 的 子 颁发 机 构 
子 颁发 机 构 描 述 
5 此 安全 标识 符 发 布 给 登录 的 会 话 ， 允 许 将 权限 授予 特定 登录 会 话 下 运行 的 应 用 程序 ， 这些 安 全 标识 符 的 第 一 
个 子 颁发 机 构 是 5， 基 本 格式 是 S-1-5-5-x-y 
6 当 一 个 进程 以 服务 的 形式 登录 ， 其 令 牌 中 就 具有 特殊 的 安全 标识 符 ， 该 安全 标识 符 的 子 颁发 机 构 是 6， 基 本 
格式 是 S-1-5-6 
21 SECURITY_NT_NON_UNIQUE 表示 用 户 或 计算 机 的 安全 标识 符 并 非 是 唯一 的 
32 SECURITY_BUILTIN_DOMAIN_RID 表示 内 置 的 安全 标识 符 ， 例 如 ， 内 置 管 理 员 组 的 知名 安全 标识 符 是 
S-1-5-21-544 
80 SECUTITY SERVICE ID BASE_RID 表示 服务 的 安全 标识 符 
以 如 下 安全 描述 符 为 例 : 


S-1-5-21-1534169462-1651380828-111620651-500 

以 S-1-5 开始 ， 表 明 其 是 由 Windows NT 颁发 的 。 第 一 个 子 颁发 机 构 是 21，21 表明 其 是 
一 个 Windows NT 的 安全 标识 符 。1534169462、1651380828 以 及 111620651 分 别 是 3 个 子 办 
法 结构 。 以 500 结尾 ， 表 示 是 内 置 管理 员 帐 户 的 相对 标识 符 。 

2. 访问 控制 列表 

访问 控制 列表 主要 用 于 控制 网 络 用 户 对 共享 资源 的 访问 , 它 定义 了 安全 主体 对 打印 机 、 共 
享 文件 夹 、 组 织 单位 等 AD DS 对 象 的 访问 权 。 访 问 级 别 则 由 委派 给 安全 主体 的 权限 定义 。 这 
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些 权限 被 列 在 对 象 的 ACL 中 。 
(1) 访问 控制 列表 的 分 类 


访问 控制 列表 有 3 种 ， 分 别 是 随机 访问 控制 列表 (DACL)、 管 理 访问 控制 列表 (MACL) 
和 系统 访问 控制 列表 (SACL)， 这 3 种 访问 控制 列表 分 别 用 于 实现 不 同 的 目的 。 

于 随机 访问 控制 列表 

通常 情况 下 ， 在 Windows 系统 中 ， 如 果 没有 指明 访问 控制 列表 类 型 ， 都 是 指 随机 访问 控 
制 列 表 , 他 可 以 由 管理 员 或 安全 主体 所 有 者 创建 。 例如 , 管理 员 可 以 根据 实际 需要 赋予 或 收回 
某 个 对 象 的 访问 权限 ， 就 是 通过 更 改 随机 访问 控制 列表 实现 的 。 

管理 访问 控制 列表 


管理 访问 控制 列表 (MACL) 的 主要 特征 是 对 所 有 主体 及 其 所 控制 的 客体 〈 例 如 : 进程 、 
文件 、 段 、 设 备 ) 实施 强制 访问 控制 。 为 这 些 主体 及 客体 指定 敏感 标记 ， 这 些 标记 是 等 级 分 类 
和 非 等 级 类 别 的 组 合 , 它们 是 实施 强制 访问 控制 的 依据 。 系统 通过 比较 主体 和 客体 的 敏感 标记 
来 决定 一 个 主体 是 否 能 够 访问 某 个 客体 .用 户 的 程序 不 能 改变 他 自己 及 任何 其 它 客体 的 敏感 标 
记 ， 这 样 系统 可 以 防止 特洛伊 木马 的 攻击 。 

管理 访问 控制 列表 通常 与 随机 访问 控制 列表 结合 使 用 , 并 且 实施 一 些 附 加 的 、 更 强 的 访问 
限制 。 一 个 主体 只 有 通过 自主 与 强制 性 访问 限制 检查 后 , 才能 访问 某 个 客体 。 用户 可 以 利用 随 
机 访问 控制 列表 来 防范 其 它 用 户 对 自己 客体 的 攻击 ， 由 于 用 户 不 能 直接 改变 强制 访问 控制 属 
性 , 所 以 强制 访问 控制 提供 了 一 个 不 可 逾越 的 、 更 强 的 安全 保护 层 以 防止 其 他 用 户 滥用 随机 访 
问 控制 列表 。 

里 系统 访问 控制 列表 


系统 访问 控制 列表 (SACL) 和 随机 访问 控制 列表 在 架构 上 是 一 致 的 ,两 者 的 主要 区 别 在 于 后 
者 赋予 或 拒绝 特定 用 户 和 组 对 该 对 象 的 访问 权 ， 而 前 者 指定 了 每 个 用 户 或 组 中 要 审核 的 事件 。 

(2) 访问 控制 项 目 

访问 控制 列表 主要 由 两 部 分 组 成 ， 分 别 是 


访问 控制 列表 大 小 和 访问 控制 项 目 (ACE)。 3322222222221111111111 
ACE 描述 与 一 个 特定 sD 有 关 的 访问 权限 | 


ACE 大 小 [sce 标识 ACE 类 型 
定义 用 户 或 用 户 组 的 权限 。 例 如 ， 用 户 拥有 对 访问 接 码 
指定 的 共享 文件 夹 的 读 取 权限 ， 则 该 文件 夹 的 sD | 


ACL 中 就 会 有 一 个 ACE 指明 该 用 户 拥 有 读 取 
权限 。ACE 的 结构 如 图 4.2 所 示 。 

ACE 的 第 一 部 分 是 16 位 的 值 ,这 也 是 其 极限 长 度 。 不 过 ，ACE 的 长 度 也 不 是 固定 的 ， 因 
为 其 包含 一 个 长 度 不 定 的 SID。 该 SID 定义 ACE 所 适用 的 对 象 。 


图 4.2 ACE 结构 示意 图 
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3. 访问 口令 

访问 口令 主要 用 于 关联 安全 主体 和 访问 控制 列表 。 用户 登录 AD DS 时 ， 安 全 主体 被 委派 访 
问 口 令 。 访 问 口令 包括 用 户 的 SID、 用 户 所 在 组 的 SID 以 及 用 户 的 权利 和 优先 级 。 用 户 试图 获 
取 网 络 资源 的 访问 ， 而 这 些 资源 已 经 被 委派 了 ACL， 此 时 安全 子 系统 会 将 访问 口令 信息 与 ACL 
资源 进行 对 照 ， 确 定 是 否 允 许 安全 主体 访问 。 将 访问 标志 的 SID 与 ACL 的 ACE 进行 对 照 ， 如 
果 匹 配 ，SID 检测 权限 的 级 别 ， 然 后 为 安全 主体 授予 权限 级 别 。 

4. 认证 

认证 就 是 保证 访问 网 络 资源 的 用 户 身份 的 过 程 。 用 户 登 录 AD DS 后 ， 首 先 需要 进行 身份 
认证 ， 通 过 之 后 ， 其 对 应 的 SID 和 ACL 将 开始 执行 相应 的 职能 。 

当 用 户 从 网 络 计 算 机 登录 时 ， 计 算 机 上 的 Winlogon 服务 装 入 了 msgina.dll 文件 。 用 户 输 
入 密码 后 ，msgina.dll 将 信息 返回 至 Winlogon 服务 。Winlogon 服务 将 信息 传递 至 本 地 安全 颁 
发 机 构 (LSA)。 用 户 的 明文 密码 非常 杂乱 ， 密 码 的 明文 副本 也 被 删除 。 用 户 名 和 杂乱 密码 被 
传递 至 安全 支持 提供 程序 (SSP)。 在 Windows 2000 和 更 新 的 版 本 中 ，Kerberos 被 用 作 SSP。 
然后 SSP 将 用 户 名 和 杂乱 密码 发 送 至 域 控制 器 ， 用 于 认证 。 


5. 授权 


授权 是 通过 认证 后 的 后 续 操 作 ， 及 用 户 通 过 AD DS 认证 后 ， 即 可 被 赋予 对 网 络 资源 的 访 
问 权限 。 

认证 过 程 决定 了 用 户 在 网 络 上 的 权利 。 如 果 用 户 欲 访问 文件 服务 器 上 的 文件 , 并 具有 正确 
的 权限 ， 则 可 以 访问 文件 ， 被 授权 使 用 这 些 文件 。 如 果 欲 访问 打印 机 服务 器 上 的 打印 机 对 象 ， 
则 授权 会 再 次 检测 其 权限 ， 查 看 是 否 可 以 使 用 打印 机 对 象 。 如 果 不 具 备 ， 则 会 被 拒绝 访问 。 


4.1.2 只 读 域 控制 器 


只 读 域 控制 器 (RODC) 是 Windows Server 2008 系统 提供 的 新 型 域 控制 器 ， 可 以 帮助 用 
户 在 物理 安全 得 不 到 保证 的 情况 下 ， 部 署 域 控 制 器 并 确保 其 安全 性 。RODC 包含 了 活动 目录 
数据 库 的 只 读 部 分 , 可 以 帮助 用 户 确保 网 络 环境 安全 。 域 控制 器 是 分 支 机 构 中 最 薄弱 的 环节 ( 参 
见 “ 第 14 章 分 支 机 构 安全 ”)。 使 用 RODC， 可 以 将 可 写 域 控制 器 移 到 合适 的 数据 中 心 ， 使 
用 RODC 替代 分 支 机 构 中 的 可 写 域 控制 器 ， 从 而 降低 安全 风险 。 

1. RODC 的 基本 功能 

在 引入 RODC 之 前 ， 分 支 机 构 中 的 用 户 必 须要 使 用 汇 接点 中 的 域 控制 器 ， 通 过 Intemet 
来 进行 验证 。 和 否则 ， 在 分 支 机 构 中 必须 要 有 一 个 本 地 域 控制 器 。 没 有 更 好 的 解决 办 法 ， 因 为 小 
型 站 点 不 能 为 可 写 域 控制 器 提供 足够 的 安全 保护 。 分 支 机 构 和 汇 接 站 点 之 间 的 带宽 也 非常 有 
限 ， 对 于 分 支 机 构 的 用 户 而 言 ,需要 花 更 多 的 时 间 登 录 , 访问 网 络 资源 的 速度 也 很 慢 。 在 网 络 
中 部 署 RODC， 能 够 为 分 支 机 构 提 供 如 下 功能 : 
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四 改进 的 安全 性 ; 
和 快速 登录 ; 
更 有 效 的 访问 网 络 资源 。 


RODC 的 主要 作用 就 是 弥补 域 网 络 中 物理 安全 的 漏洞 , 既 保证 了 客户 端 快速 可 靠 地 身份 验证 ， 
同时 还 保证 了 可 写 域 控制 器 数据 的 安全 。 在 某 些 特殊 域 环境 中 , 管理 员 还 可 以 使 用 RODC 灵活 党 
控 可 写 域 控制 器 的 安全 。 例 如 ， 需 要 在 域 控制 器 上 安装 应 用 程序 时 ， 程 序 所 有 者 必须 交互 登录 到 
域 控制 器 上 , 或 是 使 用 终端 服务 来 设置 和 管理 应 用 程序 , 这 可 能 会 为 可 写 域 控制 器 带 来 安全 风险 。 
存储 所 有 域 用 户 密码 的 地 方 ， 也 可 能 存在 漏洞 ， 例 如 ， 企 业内 部 网 或 是 面向 程序 角色 。RODC 的 
主要 用 途 之 一 ， 就 是 部 署 在 分 支 机 构 中 ， 为 其 提供 物理 安全 防护 和 基本 身份 验证 。 


2. 只 读 AD DS 数据 库 


除 帐户 密码 之 外 ，RODC 保存 了 可 写 域 控制 器 所 保留 的 所 有 活动 目录 对 象 和 属性 。 但 是 ， 
不 能 对 其 数据 库 进行 更 改 。 RODC 数据 库 的 更 新 过 程 是 通过 复制 可 写 域 控 制 器 数据 库 完成 的 ， 
管理 员 只 能 对 可 写 域 控制 器 数据 库 进 行 修改 和 存储 。 

请 求 对 目录 读 取 访问 的 本 地 应 用 程序 可 以 获取 访问 权限 。 请 求 写 入 访问 的 轻型 目录 访问 协 
议 (Lightweight Directory Access Protocol，LDAP) 应 用 程序 将 接收 LDAP 引用 响应 。 此 响应 
将 其 定向 到 可 写 域 控制 器 ， 在 这 里 可 以 被 访问 。 


3. RODC 筛选 的 属性 集 


在 RODC 筛选 的 属性 集中 定义 的 属性 不 允许 复制 到 林 中 的 任何 RODC 上 ， 对 于 需要 使 用 
AD DS 存储 数据 (例如 , 密码 、 和 凭据 或 加 密 密 钥 ) 的 应 用 程序 , 并 且 不 希望 将 数据 存储 到 RODC 
上 “以 防 泄露 )， 则 可 以 将 这 组 属性 定义 为 域 对 象 中 筛选 属性 集 的 一 部 分 ， 该 属性 集 不 会 复制 
到 任何 RODC 上 。 

恶意 用 户 可 以 尝试 采用 上 述 方式 对 其 进行 配置 ， 以 试图 复制 在 RODC 筛选 的 属性 集中 定义 的 
属性 。 如 果 RODC 尝试 从 运行 Windows Server 2008 的 域 控 制 器 复制 这 些 属性 ， 则 复制 请 求 会 被 
拒绝 。 但 是 ， 如 果 RODC 尝试 从 运行 Windows Server 2003 的 域 控制 器 复制 属性 ， 则 复制 请 求 可 
能 成 功 。 如 果 计划 使 用 RODC 第 选 的 属性 集 ， 必 须 确保 林 功能 性 级 别 是 Windows Server 2008， 则 
运行 Windows Server 2003 的 域 控制 器 就 无 法 存在 于 林 中 ， 从 而 确保 RODC 的 安全 。 

为 防止 错误 设置 AD DS 的 功能 ,建议 不 要 将 系统 关键 属性 添加 到 RODC 筛选 的 属性 集中 。 
AD DS 正常 工作 所 需要 的 属性 即 为 系统 关键 属性 ， 包 括 本 地 安全 机 构 (Local Security 
Authority，LSA)、 安 全 帐户 管理 器 (Security Accounts Manager，SAM) 和 微软 特定 的 安全 服 
务 提 供 程序 接口 (Security Service Provider Interfaces，SSPI)。 系 统 关键 属性 的 schemaFlagsEx 
属性 默认 值 等 于 1。 

RODC 筛选 的 属性 集 应 在 保存 架构 操作 主机 角色 的 服务 器 上 进行 配置 。 当 架构 主机 运行 
Windows Server 2008 系统 时 ， 如 果 尝 试 将 系统 关键 的 属性 添加 到 RODC 筛选 集 ， 则 服务 器 将 
返回 “unwillingToPerform”LDAP 错误 。 如 果 尝 试 将 系统 关键 的 属性 添加 到 在 Windows Server 
2003 架构 主机 上 的 RODC 筛选 的 属性 集 ， 则 操作 过 程 中 虽然 没有 报告 错误 ， 但 并 不 能 成 功 添 
加 。 因 此 , 在 将 属性 添加 到 RODC 筛选 集 时 ,建议 架构 主机 为 Windows Server 2008 域 控制 器 ， 
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以 确保 在 RODC 筛选 的 属性 集中 不 包括 系统 关键 的 属性 。 
管理 员 可 以 通过 查看 Windows Server 2008 安装 光盘 上 的 相关 文件 ， 详 细 了 解 Windows 
Server 2008 的 默认 架构 。 


4. 单 向 复制 


由 于 不 会 将 更 改 直 接 写 入 RODC， 所 以 也 就 不 会 产生 来 自 RODC 的 更 改 ， 作 为 复制 伙伴 
的 可 写 域 控制 器 ， 也 就 不 必 从 RODC 导入 更 改 。 这 意味 着 恶意 用 户 在 分 支 位 置 可 能 进行 的 任 
何 更 改 或 损坏 ， 都 不 能 从 RODC 复制 到 林 的 其 余部 分 ， 也 就 减轻 了 复制 拓扑 中 桥头 服务 器 的 
工作 负荷 以 及 监视 复制 所 需 开 销 。 


提示 
党 桥头 服务 器 是 站 皮 中 被 指定 用 于 完成 与 林 中 其 他 站 点 之 间 信 息 复 制 的 服务 器 。 


RODC 单 向 复制 适用 于 AD DS 和 分 布 式 文件 系统 (Distributed File System，DFS) 复制 。 
RODC 对 AD DS 和 DFS 复制 更 改 执行 标准 入 站 复制 。 


5. 只 读 DNS 


如 果 在 网 络 中 部 署 了 RODC， 则 建议 在 RODC 所 在 分 支 机 构 中 同时 部 署 DNS 服务 器 ， 以 
便 为 本 地 用 户 提供 快速 身份 验证 ,否则 本 地 用 户 的 身份 验证 请 求 仍 需 通 过 Intermet 传输 到 可 写 
域 控制 器 上 完成 。 要 为 分 支 机构 提 供 名 称 解 析 ， 可 以 在 RODC 运行 DNS 来 复制 DNS 使 用 的 
所 有 应 用 程序 目录 分 区 包括 ForestDNSZones 和 DomainDNSZones。 如 果 已 在 RODC 上 安装 
了 DNS 服务 器 ， 则 客户 端 可 以 与 查询 任何 其 他 DNS 服务 器 一 样 ， 查 询 该 DNS 服务 器 以 进行 
名 称 解 析 。 

但 是 ，RODC 上 的 DNS 服务 器 不 直接 支持 客户 端 更 新 。 因 此 ，RODC 不 为 其 承载 的 任何 
活动 目录 集成 区 域 注册 名 称 服务 器 (Name Server，NS) 资源 记录 。 当 客户 端 尝试 根据 RODC 
更 新 其 DNS 记录 时 ， 服 务 器 会 返回 一 个 引用 。 然 后 客户 端 可 以 尝试 对 引用 中 提供 的 DNS 服 
务 器 进行 更 新 。 在 后 台中 ， 在 RODC 上 的 DNS 服务 器 尝试 从 进行 更 新 的 DNS 服务 器 复制 更 
新 记录 。 此 复制 请 求 仅 适用 于 单个 对 象 (DNS 记录 )。 在 此 特殊 复制 单个 对 象 请 求 过 程 中 不 会 
复制 更 改 区 域 或 域 数 据 的 完整 列表 。 


4.1.3 可 以 重启 的 AD DS 


在 日 常 管理 中 , 某 些 操作 通常 需要 重启 域 控制 器 才 可 以 生效 ,例如 安装 部 分 安全 更 新 之 后 。 
使 用 可 重启 的 AD DS 就 可 以 无 需 重启 域 控制 器 而 执行 这 些 操作 。 此 外 , 管理 员 还 可 以 停止 AD 
DS， 以 执行 活动 目录 数据 库 脱 机 碎片 整理 等 任务 。 另 外 ， 可 重启 的 AD DS， 还 允许 管理 员 在 
服务 器 上 运行 不 依赖 AD DS 的 服务 器 角色 (如 DHCP), 在 进行 安全 升级 或 脱 机 碎片 整理 时 仍 
可 用 来 应 答 客户 端 请 求 。 

默认 情况 下 ， 可 重新 启动 的 AD DS 在 运行 Windows Server 2008 的 所 有 域 控制 器 上 都 是 
可 用 的 。 使 用 此 功能 不 存在 任何 功能 级 别 的 要 求 或 任何 先决 条 件 , 与 其 他 服务 一 样 ， 可 以 使 用 


85 


Ag 
属 。 Windows Server 2008 系统 安全 管理 实战 指南 


MMC 控制 台 管理 单元 或 命令 行 来 停止 和 重新 启动 AD DS。 需 要 注意 的 是 , 如 果 停止 了 ADDS， 
则 DNS、KDC 以 及 站 间 消 息 传递 服务 也 会 停止 。 

停止 AD DS 与 在 目录 服务 恢复 模式 中 登录 AD DS 相似 ,但 是 可 重新 启动 的 AD DS 为 运 
行 Windows Server 2008 的 域 控制 器 提供 了 一 种 新 的 状态 一 一 AD DS 停止 。 在 此 状态 下 ， 域 控 
制 器 与 目录 服务 恢复 模式 和 域 成 员 服务 器 的 特性 类 似 。 在 目录 服务 还 原 模式 时 , 位 于 本 地 域 控 
制 器 上 的 活动 目录 数据 库 (Ntds.dit) 处 于 脱 机 状态 。 如 果 其 他 域 控制 器 可 用 ， 本 地 域 控制 器 
可 以 使 用 其 进行 登录 。 如 果 无 法 联系 到 其 它 域 控制 器 ， 可 以 使 用 “目录 服务 还 原 模式 密码 ” 登 
录 。 作 为 成 员 服务 器 ,该 服务 器 被 加 入 域 , 组 策略 或 者 其 他 设置 仍 被 应 用 到 计算 机 ,但 其 无 法 
为 登录 请 求 服务 或 者 与 其 它 域 控制 器 进行 复制 操作 。 


4.1.4 AD DS 审核 


在 Windows Server 2008 中 , 用 户 可 以 通过 建立 AD DS 审核 来 记录 新 旧 属 性 值 ， 当 活动 目 
录 对 象 及 其 属性 发 生变 化 时 ， 将 自动 生成 相应 的 系统 事件 。AD DS 审核 同样 适用 于 Active 
Directory 轻 量 目录 服务 (AD LDS，Active Directory Lightweight Directory Services) 中 。 全 局 
审核 策略 审核 对 目录 服务 的 访问 控制 ， 无 论 针 对 目录 服务 事件 的 审核 是 被 启用 或 被 禁 
用 ， 该 安全 选项 决定 了 当 确定 的 操作 被 应 用 到 目录 对 象 时 ， 相 应 的 事件 都 将 被 记录 到 
安全 日 志 中 。 

在 Windows 2000 Server 和 Windows Server 2003 中 ， 只 有 一 个 审核 策略 “审核 目录 服务 
访问 ”， 用 以 控制 目录 服务 事件 审核 的 启用 和 禁用 。 在 Windows Server 2008 中 ， 该 策略 分 为 
四 个 子 类 别 : 

到 目录 服务 访问 ; 

昌 目录 服务 更 改 ; 

昌 目录 服务 复制 ; 

m 详细 的 目录 服务 复制 。 


要 审核 对 象 的 更 改 ， 应 启用 子 类 别 对 象 服务 更 改 审 核 策略 ， 其 对 应 的 安全 事件 ID 及 描述 
信息 如 表 4.3 所 示 。 


表 43 AD DS 操作 
类 型 描述 
修改 成 功 修改 属性 后 记录 
创建 创建 对 象 后 记录 
恢复 恢复 对 象 后 记录 
移动 移动 对 象 后 记录 
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4.1.5 活动 目录 数据 库 装 载 工 具 


微软 提供 了 一 种 方法 , 可 以 比较 不 同时 间 获 取 的 存在 于 快照 或 备份 中 的 数据 , 从 而 改进 活 
动 目录 的 恢复 过 程 。 这 从 安全 的 角度 来 讲 是 非常 重要 的 , 因为 其 提供 了 一 种 追踪 安全 缺口 出 现 
之 前 所 出 现 的 变化 的 方式 一 一 一 种 通过 比较 数据 进行 区 分 的 方式 。 未 达到 这 一 目的 , 可 以 使 用 
新 的 活动 目录 数据 库 装载 工具 (Dsamain.exe)， 其 有 助 于 决定 在 数据 丢失 后 要 还 原 哪些 数据 。 
这 样 就 无 需 还 原 多 个 备份 也 可 以 比较 其 中 包含 的 活动 目录 数据 。 

注意 ”该 功能 在 发 展 的 过 程 中 ， 所 使 用 的 代码 名 有 “快照 查看 器 ”和 “活动 目录 数据 库 装 

载 工具 ， 在 一 些 文档 中 仍然 可 以 看 到 这 些 名 。 
首先 要 了 解 活动 目录 数据 库 装载 工具 本 身 并 不 会 自动 恢复 删除 的 对 象 , 它 有 助 于 简化 恢复 


意外 删除 对 象 的 过 程 。 在 Windows Server 2008 之 前 ， 当 对 象 或 组 织 单元 (OU ) 被 意外 删除 时 ， 
精确 确定 哪些 对 象 被 删除 的 唯一 方法 就 是 从 备份 中 还 原 数据 。 这 种 方法 存在 缺点 : 必须 重启 


较 在 不 同时 间 点 获得 的 备份 中 的 数据 。 
活动 目录 数据 库 装载 工具 的 用 途 是 公开 存储 在 快照 或 联机 备份 中 的 AD DS 数据 。 然 后 ， 
管理 员 可 以 比较 不 同时 间 点 获得 的 快照 或 备份 中 的 数据 , 进而 可 帮助 管理 员 更 好 地 决定 还 原 哪 
些 数据 而 无 需 使 服务 中 断 。 使 用 活动 目录 数据 库 装载 工具 可 以 将 删除 的 AD DS 或 活动 目录 轻 
型 目录 服务 (Active Directory Lightweight Directory Services，AD LDS) 数据 以 通过 卷 影 复制 
服务 (Volume Shadow Copy Service，VSS) 获得 的 AD DS 快照 进行 保留 。 该 工具 不 会 真正 的 
恢复 删除 的 对 象 和 容器 。 作 为 后 续 步 又， 管理 员 必 须 执行 数据 恢复 。 
由 于 备份 包含 敏感 数据 ， 所 以 将 备份 保存 为 只 读 形式 ， 而 对 于 AD DS 快照 ， 应 当 只 允许 
域 管 理 员 组 或 企业 管理 员 组 的 成 员 使 用 轻型 目录 访问 协议 (LDAP) 工具 (例如 Ldp.exe) 查 
看 快照 。 建 议 使 用 加 密 或 其 它 数据 保护 ， 以 保证 AD DS 快照 不 受 未 经 授权 的 访问 。 
使 用 活动 目录 数据 库 装载 工具 的 过 程 包括 下 列 步 又: 
四 虽然 不 是 必需 , 但 仍然 建议 计划 任务 定期 运行 Ntdsutil.exe 获取 包括 AD DS 数据 库 的 
卷 的 快照; 
运行 Ntdsutil.exe 列 出 所 有 快照 ， 然 后 装载 要 查看 的 快照; 
四 运行 Dsamain.exe 作为 LDAP 服务 器 公开 快照 卷 。 例如 ， 若 要 查看 默认 路 径 中 的 近期 快 
照 ， 其 命令 为 : dsamain-dbpath c:\$snap 200711201220_volumec$vwindowswmtdsmtds.dit 
-ldapport 41389 这 样 就 可 以 在 端口 41389 上 ， 通 过 Ldp.exe 得 到 快照 。 
Dsamain.exe 使 用 的 参数 如 下 : 
m AD DS 数据 库 (Ntds.dit) 路 径 。 默 认 情况 下 ， 该 路 径 打 开 为 只 读 ， 但 必须 是 ASCIT; 
和 日 志 路 径 。 该 路 径 可 以 是 临时 路 径 ， 但 必须 具有 写 入 权限 ; 
和 4 个 端口 号 为 LDAP、LDAP-SSL、Global Catalog 和 Global Catalog - SSL。 只 有 LDAP 
端口 是 必需 的 。 如 果 未 指定 其 他 端口 ， 将 分 别 使 用 LDAP+1、LDAP+2 和 LDAP+3。 
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例如 ， 如 果 指 定 LDAP 端口 41389 而 未 指定 其 他 端口 值 ， 则 默认 情况 下 LDAP-SSL 端 
口 将 使 用 端口 41390， 以 此 类 推 ; 

于 运行 Ldp.exe 并 将 其 连接 到 在 之 前 的 步骤 中 作为 LDAP 服务 器 公开 快照 时 指定 的 快照 的 
LDAP 端口 ; 

里 和 使 用 所 有 实时 域 控制 器 一 样 浏览 快照 。 可 以 在 “命令 提示 符 ” 窗口 按 Ctrlt+C Dsamain， 
或 者 如 果 远 程 运 行 该 命令 ， 则 可 以 通过 设置 rootDSE 对 象 的 stopservice 属性 停止 


Dsamain。 


如 果 了 解 了 哪些 OU 或 对 象 被 删除 ， 可 以 在 快照 中 查找 已 删除 对 象 并 记录 属性 和 属于 已 删除 
对 象 的 返回 链接 。 使 用 风 辑 删除 恢复 功能 恢复 这 些 对 象 。 然 后 ， 使 用 和 快照 中 相同 的 去 除 的 属性 
和 返回 链接 ， 手 动 重新 填充 这 些 对 象 。 虽 然 必 须 手 动 重新 创建 去 除 的 属性 和 返回 链接 ， 但 活动 目 
录 数 据 库 装载 工具 可 以 重新 创建 删除 的 对 象 及 其 返回 链接 ， 而 无 需 以 目录 服务 还 原 模式 重启 域 控 
制 器 。 还 可 以 使 用 该 工具 查看 以 前 的 AD DS 配置 , 包括 已 生效 的 权限 , 这 对 恢复 工作 会 大 有 帮助 。 
在 AD DS 停止 时 ， 若 想 知道 上 次 工作 时 其 是 怎样 配置 ， 此 特性 也 是 非常 有 用 的 。 


4.1.6 AD DS 部 署 安全 


通常 情况 下 , 多 数 用 户 都 是 使 用 默认 方式 安装 服务 器 操作 系统 的 , 并 且 几 乎 未 经 任何 安全 
设置 就 投入 使 用 ， 其 实 这 中 做 法 本 身 就 存在 非常 严重 的 安全 隐患 。Windows 操作 系统 的 默认 
安装 方式 适用 于 大 多 数 普通 用 户 ， 许 多 安全 功能 并 未 启用 ， 如 果 在 此 基础 上 部 署 AD DS 无 疑 
会 增加 域 控制 器 的 风险 。 管 理 员 可 以 从 以 下 几 个 方面 确保 AD DS 的 部 署 安全 。 


1. 安全 的 操作 系统 
操作 系统 是 网 络 服务 的 根本 。 管 理 员 可 以 通过 如 下 设置 打造 安全 的 服务 器 操作 系统 : 


使 用 NTEFS 文件 系统 格式 化 驱动 器 。Windows 系统 中 许多 安全 功能 的 部 署 和 实现 ,都 是 
基于 NTFS 文件 系统 的 ,因此 ,建议 使 用 NTFS 文件 系统 格式 化 服务 器 的 所 有 磁盘 分 区 ; 

四 只 安装 TCP/IP 协议 。 通 常情 况 下 ， 在 服务 器 上 只 安装 TCP/IP 协议 就 足够 了 ， 既 可 以 
满足 基本 的 网 络 应 用 ， 又 能 减少 被 攻击 的 机 率 ; 

安全 DNS。 保 证 提升 域 控制 器 之 前 已 经 安全 的 安装 和 配置 了 DNS 服务 器 ; 

香 不 安装 IS。 默 认 情 况 下 ，Windows Server 2003 和 Windows Server 2008 并 不 安装 IIS 服 
务 , 或 将 其 作为 操作 系统 的 一 部 分 。 在 应 用 过 程 中 , 同样 应 注意 避免 在 域 控制 器 上 部 团 
IIS 服务 。 

2. 安全 的 安装 位 置 

确保 域 控制 器 的 安装 位 置 安全 。Dcpromo 使 用 的 自动 安装 文件 和 自动 提升 文件 中 包括 管 

理 员 帐 户 提升 域 控制 器 时 使 用 的 密码 。 如 果 使 用 的 是 高 级 版 本 的 Dcpromo， 则 完成 域 控制 器 


提升 后 ， 应 从 系统 缓存 中 删除 安装 文件 。 系 统 状态 只 对 墓碑 式 生命 周期 有 效 ，Dcpromo 不 使 
用 过 期 的 系统 状态 。 
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3. 系统 用 户 帐 户 安全 


入 侵 者 攻击 服务 器 时 ， 首 先 需要 假设 一 个 用 户 帐 户 并 猜测 其 可 能 的 密码 ， 而 Windows 系 
统 中 的 Administrator 和 Guest 帐 户 是 使 用 频率 最 高 的 用 户 帐户 之 一 ,虽然 这 些 帐 户 不 能 被 删除 ， 
但 是 可 以 通过 重 命名 的 方式 ， 避 免 由 此 导致 的 网 络 攻击 。Guest 帐户 默认 是 被 禁用 的 ， 对 于 服 
务 器 而 言 , 建议 管理 员 不 要 启用 该 帐户 。 对 于 Administrator 帐户 而 言 , 建议 管理 员 部 署 AD DS 
之 后 ， 立 即 更 改 管理 员 帐 户 名 称 。 

保护 管理 员 帐 户 还 有 另 一 种 方法 ， 那 就 是 创建 一 个 新 帐户 , 使 其 具有 所 有 相同 的 权限 ， 然 
后 禁用 内 置 管理 员 帐 户 ,网 络 上 的 许多 程序 都 会 自动 扫描 系统 上 管理 员 的 SID 。 前面 也 曾 提 到 ， 
可 以 对 帐户 进行 重 命名 ， 但 是 SID 不 会 任何 变化 。 内 置 管理 员 SID 都 是 以 500 结尾 ， 网 络 上 
的 程序 可 以 很 轻松 地 找 出 这 些 SID 。 


4. 使 用 Syskey 保护 密码 信息 


所 有 域 密码 都 被 保存 在 AD DS 数据 库 中 。 如 果 域 控制 器 遭遇 物理 攻击 ， 则 AD DS 数据 库 的 
安全 也 就 难以 保证 。 为 此 ， 管 理 员 可 以 使 用 Syskey 加 密 密 码 。Syskey 的 安全 保护 级 别 有 3 种 : 

昌 等 级 1。 默认 情况 下 ，Windows 2003 和 Windows Server 2008 启用 的 是 等 级 1， 即 系统 
密码 会 自动 生成 ， 加 密 密 码 保存 在 本 地 服务 器 上 ; 

上 等 级 2。 与 等 级 1 的 操作 方法 相同 ,但 是 启动 计算 机 时 ,管理 员 可 以 选择 额外 的 密码 输 
入 系统 。 与 等 级 1 不 同 ， 额 外 密码 不 保存 在 本 地 服务 器 上 ， 可 以 保存 在 U 盘 或 软盘 上 ; 

和 等 级 3。 登 录 过 程 中 要 求 更 多 的 管理 员 互 动 操作 。 计 算 机 自动 生成 密码 ， 并 保存 在 软盘 
上 。 启 动 时 ， 如 果 管 理 员 没有 将 软盘 放 进 系统 ， 则 计算 机 不 能 启动 。 


4.1.7 活动 目录 轻型 目录 服务 


通过 使 用 Windows Server 2008 Active Directory 轻 型 目录 服务 (Active Directory Lightweight 
Directory Services，AD LDS) 角色 ， 可 以 为 已 启用 目录 的 应 用 程序 提供 目录 服务 ， 而 无 需 占 
用 域 和 林 中 的 开销 ， 并 且 不 要 求 在 整个 林 中 只 使 用 一 个 架构 。 


1.AD LDS 概述 


Active Directory 轻型 目录 服务 在 Windows Server 2008 之 前 , 被 称 作 Active Directory 应 用 
模式 (Active Directory Application Mode, ASAM), 可 以 提供 目录 服务 ， 用 于 为 已 启用 目录 的 
应 用 程序 提供 目录 服务 , 而 无 需 占 用 域 和 林 中 的 空间 ,并 且 不 要 求 在 整个 林 中 只 使 用 一 个 架构 。 

AD LDS 是 一 个 轻型 目录 访问 协议 (LDAP)， 没 有 AS DS 所 必需 的 依存 关系 。AD LDS 
提供 的 许多 功能 都 与 AD DS 相同 ， 但 是 无 需 部 署 域 或 域 控制 器 。 用 户 可 以 在 一 台 计算 机 上 同 
时 运行 多 个 AD LDS 实例 ， 每 个 AD LDS 实例 都 有 独立 管理 的 架构 。 这 样 就 可 以 将 AD LDS 
隔离 ， 使 其 仅 为 单个 程序 所 用 。 从 系统 安全 角度 考虑 ， 可 以 在 一 台 服 务 器 上 部 署 多 个 AD LDS 
实例 ， 并 且 这 些 实例 不 互相 连接 ， 也 不 共享 任何 信息 。 

AD LDS 为 已 启用 目录 的 应 用 程序 和 Windows 服务 器 操作 系统 提供 目录 服务 ， 其 存储 网 
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络 架 构 、 用 户 、 组 和 网 络 服务 的 核心 信息 。 在 此 角色 下 ，AD DS 在 整个 林 中 必须 遵循 单一 架 
构 .AD LDS 必须 在 整个 林 中 AD LDS 不 需要 或 不 依赖 Active Directory 域 或 林 。 但 是 ,在 有 AD 
DS 的 环境 中 ，AD LDS 可 以 使 用 AD DS 对 Windows 安全 主题 进行 身份 验证 。 使 用 AD LDS 
服务 器 角色 ， 能 够 为 已 启用 目录 的 程序 提供 不 依赖 活动 目录 林 的 目录 服务 。 如 果 已 经 有 了 AD 
DS， 则 可 以 将 其 用 于 Windows 安全 主题 的 验证 。 例 如 ， 程 序 需 要 扩展 架构 ， 但 由 于 某 些 原因 
无 法 实现 , 则 可 以 扩展 AD LDS 架构 并 存储 信息 , 用 户 也 可 以 使 用 AD DS 验证 并 连接 到 程序 ， 
AD LDS 负责 存储 特定 程序 的 值 。 


2. Windows Server 2008 中 AD LDS 新 特性 
Windows Server 2008 操作 系统 的 AD LDS 新 特性 如 下 : 


下 审核 AD LDS 的 更 改 。 可 以 使 用 新 的 审核 子 类 别 来 设置 AD LDS 审核 ， 以 便 在 对 对 象 
及 其 属性 进行 更 改 时 记录 旧 值 和 新 值 ; 

昌 数据 库 装载 工具 与 AD DS 中 的 数据 装载 工具 工作 方式 相同 。 借 助 此 功能 ， 无 需 重新 启 
动 服务 器 , 即 可 查看 联机 存储 在 不 同时 间 点 获取 的 快照 中 的 目录 数据 , 以 便 更 好 地 决定 
要 还 原 的 数据 ; 

四 支持 Active Directory 站 点 和 服务 。 若 要 使 用 该 工具 ,必须 导入 MS-ADLDS-DisplaySpecifiers. 
LDF 中 的 类 ， 以 扩展 要 管理 的 配置 集 架构 。 借 助 此 功能 ， 可 以 使 用 活动 目录 站 点 和 服 
务 管理 单元 来 管理 AD LDS 实例 之 间 的 复制 ; 

昌 实例 设置 过 程 中 的 LDAP 数据 交换 格式 (LDAP Data Interchange Format，LDIF) 文件 
的 动态 列表 。 借 助 此 功能 ， 除了 随 AD LDS 一 起 提供 的 默认 LDIF 文件 外 ,还 可 以 通过 
将 自 定义 LDIF 文件 添加 到 %systemroot9%%\ADAM 目录 中 ， 使 自 定义 LDIF 文件 可 用 于 
AD LDS 实例 设置 过 程 中 ; 

m 雍 归 链接 属性 查询 。 借 助 此 功能 ， 可 以 创建 跟踪 嵌 套 属性 链接 的 单个 LDAP 查询 。 对 
于 确定 组 成 员 身 份 和 体系 ， 该 功能 非常 有 用 。 


4.2 有效 权限 的 计算 与 检索 


在 实际 应 用 中 , 由 于 不 同 权 限 之 间 的 优先 级 不 同 , 并 非 赋予 的 所 有 权限 都 是 有 效 的 。 例 如 ， 
管理 员 赋予 某 用 户 帐户 远程 访问 的 权限 , 但 禁止 该 用 户 所 在 组 进行 远程 访问 , 则 此 时 该 用 户 仍 
不 能 远程 登录 服务 器 。 通 过 有 效 权 限 计算 器 可 以 了 解 指 定 对 象 拥有 哪些 有 效 权 限 。 由 于 有 些 权 
限 是 必须 在 用 户 登 录 后 方 可 拥有 的 ， 而 有 效 权 限 计算 器 只 能 计算 已 登录 用 户 的 权限 ， 因 此 , 计 
算 结果 显示 的 指示 对 象 拥有 权限 的 近似 值 。 


4.2.1 有 效 权限 计算 规则 
有 效 权限 计算 按照 如 下 安全 标识 符 来 完成 计算 : 
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到 全 局 组 成 员 身份 ; 
四 本 地 组 成 员 身份 ; 
于 本 地 权限 ; 
四 本 地 特权 。 


有 效 权限 计算 不 会 考虑 这 些 安全 标识 符 : 


匿名 登录 ; 

和 批 处 理 和 创建 者 组 ; 
拨号 ，; 
企业 域 控制 器 ; 
里 交互 ; 

里 网 络 ; 

a 代理 ; 

里 受 限 ; 

里 远程; 

m 服务; 

系统; 

四 终端 服务 器 用 户 ; 
昌 其 他 组 织 ; 

此 组 织 。 


4.2.2 检索 有 效 权限 


准确 检索 上 述 信息 需要 读 取 成 员 身 份 信息 的 权限 。 如 果 指 定 用 户 或 组 是 域 对 象 , 则 必须 具 
有 读 取 该 域 上 对 象 的 组 信息 的 权限 。 以 下 是 一 些 相关 的 默认 域 权限 : 

里 域 管理 员 具 有 读 取 所 有 对 象 上 的 成 员 身 份 信息 的 权限 ; 

里 工作 站 或 独立 服务 器 上 的 本 地 管理 员 ， 不 能 读 取 域 用 户 的 成 员 身 份 信息 ; 

里 当 域 处 于 Windows 2000 以 前 版 本 的 兼容 模式 下 时 ， 域 用 户 只 能 读 取 成 员 身份 信息 ; 

里 用 户 或 组 的 有 效 权限 用 灰色 的 勾 号 表示 ， 且 不 能 更 改 。 


以 域 控制 器 上 的 共享 文件 夹 “share” 为 例 ， 通 过 如 下 操作 即 可 查看 用 户 帐户 “liuxh” 对 
该 文件 夹 拥有 的 有 效 权限 。 


01 在 “Active Directory 用 户 和 计算 机 ”窗口 中 ， 右 击 “share” 文件 夹 并 选择 快捷 菜单 中 的 “属性 ” 打开 
“share 属性 ”对 话 框 ， 切 换 至 “安全 ”选项 卡 ， 单 击 “ 高 级 ”按钮 打开 “share 的 高 级 安全 设置 ” 对 
话 框 ， 切 换 至 “有 效 权限 ”选项 卡 。 单 击 “ 选 择 ” 按 钮 ， 显 示 如 图 4.3 所 示 “ 选 择 用 户 、 计 算 机 或 组 ” 
对 话 框 ， 在 “输入 要 选择 的 对 象 名 称 ”文本 框 中 ， 输 入 用 户 或 组 的 名 称 。 

0 2 单 击 “ 确 定 ”按钮 ， 系 统 进行 后 侣 权限 计算 ， 完 成 后 显示 如 图 4.4 所 示 结 果 。 选 中 的 复 选 框 表示 用 户 或 
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灰色 ， 表 示 该 权限 是 从 其 父 文件 夹 继承 的 。 


组 对 该 文件 或 文件 夹 的 有 效 权限 ， 如 果 复 选 框 背景 颜色 为 


[ETE 革 
ed 


家 于 
要 万 | 
二 二 巴 所 法 站 台 用 户 5:i 限 ， 其 中 未 于 过 绍 成 员 身 说 接 党 9 和 了 。 


8 下 丈量 示 所 这 本 用户 的 权限 ， 天 旺 示 只 基于 二 过 明成 贡 和 从 直接 授 了 098 腿 ， 


RE B 消 rn 
图 44 liuxh 用 户 对 “share” 共 享 文件 夹 的 有 效 权限 


4.3 创建 信任 关系 


域 本 身 就 是 定义 网 络 安全 边界 的 ， 因 此 默认 情况 下 ,不 同 域 之 间 是 不 存在 任何 联系 的 ， 并 
且 无 法 实现 资源 共享 。 在 大 型 网 络 环境 中 ， 存 在 多 个 相互 独立 的 域 ， 但 有 时 又 需要 实现 彼此 之 
间 的 资源 共享 ， 此 时 就 需要 创建 域 之 间 的 信任 关系 ,是 双方 域 用 户 可 以 交互 登录 、 访 问 对 方 的 
共享 资源 。 


4.3.1 信任 关系 概述 


域 之 间 的 相互 隔离 就 是 为 了 确保 网 络 的 安全 ， 创 建 信任 关系 之 后 ， 无 疑 会 扩大 网 络 边界 ， 
增加 网 络 安全 风险 。 因 此 ,创建 信任 关系 之 前 , 管理 员 必 须 对 信任 关系 类 型 、 方 向 等 相关 特性 
有 所 了 解 ， 并 进行 详细 的 规划 ， 在 实现 互 访 的 同时 确保 网 络 的 安全 。 

1. 信任 关系 的 传递 性 


信任 关系 的 传递 性 决定 信任 关系 是 否 可 扩展 到 建立 信任 的 两 个 域 之 外 , 按照 是 否 具 有 可 传 
递 性 ， 信 任 关系 分 为 可 传递 信任 和 非 传递 信任 。 可 传递 信任 
用 于 将 信任 关系 扩展 到 其 他 域 ， 而 非 传递 信任 用 于 拒绝 与 其 pr 
ZR 
名 


他 域 之 间 的 信任 关系 。 

(1) 可 传递 信任 

任何 一 个 Windows Server 2008 或 Windows Server 2003 域 
被 加 入 到 域 目录 树 后 ， 这 个 域 会 自动 信任 其 父 域 ， 同 时 父 域 也 
会 自动 信任 这 个 新 域 ， 并 且 这 些 信任 关系 是 可 以 传递 到 以 后 加 
入 到 目录 树 中 的 其 他 域 的 。 可 传递 信任 关系 将 以 域 树 形成 时 的 图 4.5 可 传递 信任 关系 
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方向 沿 域 树 向 上 流动 ， 最 终 在 域 树 中 的 所 有 域 之 间 创 建 可 传递 信任 。 如 图 4.5 所 示 是 可 传递 信任 
关系 及 访问 示意 图 。 

由 于 这 种 信任 关系 都 是 建立 在 父 域 和 子 域 之 间 的 , 所 以 也 被 称 为 父子 信任 关系 。 除了 这 种 
方式 默认 创建 的 可 传递 信任 关系 外 ， 还 可 以 通过 手动 方式 创建 如 下 3 种 类 型 的 可 传递 信任 关 
系 : 

m 快捷 信任 : 在 相同 域 目录 树 或 域 目录 林 中 的 域 之 间 的 可 传递 信任 , 用 于 缩短 大 型 复杂 的 

域 树 或 林 中 的 信任 路 径 ; 

到 林 信任 : 在 林 根 域 和 第 2 个 林 根 域 之 间 的 可 传递 信任 ; 

领域 信任 : 在 Active Directory 域 和 Kerberos V5 领域 之 间 创 建 可 传递 信任 。 

(2) 非 传递 信任 

非 传递 信任 受信 任 关 系 中 的 两 个 域 的 约束 ， 并 不 流向 林 
中 的 任何 其 他 域 。 此 时 用 户 也 将 无 法 访问 到 没有 直接 建立 信 
任 关 系 的 域 ， 如 图 4.6 所 示 。 

非 传递 域 信任 是 以 下 各 项 之 间 唯一 的 信任 关系 形式 : 

Windows Server 2008 域 、Windows Server 2003 域 、 

Windows NT 域 彼此 之 间 ; 
和 一 个 林 中 的 Windows Server 2008 域 和 其 他 林 中 的 某 
个 域 ( 当 没有 被 林 信任 连结 时 )。 图 4.6 非 传递 信任 关系 


管理 员 可 以 使 用 手动 方式 创建 下 列 非 传递 信任 : 

外 部 信任 。 在 单个 Windows 域 之 间 ， 或 不 同 林 的 Windows 域 之 间 创 建 的 非 传 递 信任 关系 ; 

和 领域 信任 。 在 Windows Active Directory 域 和 Kerberos V5 领域 之 间 的 非 传递 信任 。 

2. 信任 方向 

“信任 域 ” 和 “受信 任 域 ”是 信任 关系 中 的 两 个 主体 ， 信 任 方 向 就 是 决定 彼此 之 间 的 信任 
方式 , 通常 以 箭头 表示 。 信任 方向 的 分 配 将 直接 影响 到 用 于 身份 验证 的 路 径 , 信任 路 径 则 是 身 
份 验 证 请 求 必须 符合 域 之 间 的 一 系列 信任 关系 。 信 任 方 向 可 以 分 为 单 向 信任 和 双向 信任 。 

(1) 单 向 信任 

单 向 信任 是 两 个 域 之 间 创 建 的 单 向 身份 验证 路 径 , 即 受信 
任 域 中 的 用 户 帐 户 可 以 使 用 信任 域 上 的 身份 验证 方式 ,并 访问 
域 中 的 资源 ， 反 之 则 无 法 实现 。 如 图 4.7 所 示 是 单 向 信任 关系 
示意 图 。 


(2 ) 双向 信任 


默认 情况 下 ，Windows Server 2008 和 Windows Server 图 4.7 单 向 信任 
2003 林 中 的 所 有 域 信任 关系 都 是 双向 、 可 传递 的 。 创 建新 的 
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子 域 时 ， 双 向 可 传递 信任 在 新 的 子 域 和 父 域 之 间 自 动 建立 ， 
这 意味 着 身份 验证 求 可 按 两 种 方向 在 两 个 域 之 间 传递 。 如 图 
4.8 所 示 为 双向 信任 关系 示意 图 。 

Windows Server 2003 可 以 建立 与 下 列 各 域 之 间 的 单 向 
或 双向 信任 : 

和 同一 林 中 的 Windows Server 2003 域 ; 

昌 不 同 林 中 的 Windows Server 2003 域 ; 

Windows NT4.0 域 ; 48 双向 信任 关系 

和 Kerberos V5 领域 。 


3. 信任 安全 规划 


在 默认 状态 下 , 在 使 用 “Active Directory 安装 向 导 ” 创 建 域 的 同时 ， 系 统 会 自动 创建 默认 
的 信任 关系 ,父子 信任 和 域 间 信任 。 除 此 之 外 ， 用 户 根据 需要 创建 信任 关系 之 前 ,必须 做 好 详 
细 规 划 ， 以 免 实施 之 后 导致 不 必要 的 网 络 安全 威胁 ， 通 常 应 考虑 如 下 因素 : 


(1 ) 何 时 创建 快捷 信任 


快捷 信任 是 当 系 统管 理 员 需 要 优化 身份 验证 过 程 时 , 可 以 使 用 单 向 或 双向 可 传递 信任 。 身 
份 验证 要 求 必须 首先 通过 域 树 之 间 的 信任 路 径 , 在 复杂 的 林 中 ,验证 的 时 间 会 很 长 ,执行 的 效 
率 会 很 低 。 快捷 信任 可 以 缩短 该 信任 验证 的 时 间 。 信任 路 径 是 为 了 传递 任何 两 个 域 之 间 的 身份 
验证 而 必须 遍历 的 一 系列 的 域 信任 关系 。 
当 某 个 域 中 经 常 有 许多 用 户 登录 林 中 的 其 他 域 时 , 有 必要 使 用 快捷 信任 。 快捷 信任 可 有 效 
地 缩短 两 个 不 同 树 中 的 域 之 间 进 行 身份 验证 所 要 经 过 的 路 径 。 
里 使 用 单 向 信任 : 建立 在 不 同 域 树 中 的 两 个 域 之 间 的 单 向 快捷 信任 , 可 以 减少 完成 身份 验 
证 求 所 需 的 时 间 ， 但 只 能 在 一 个 方向 上 传递 ; 
里 使 用 双向 信任 : 建立 在 不 同 域 树 中 的 两 个 域 之 间 的 双向 快捷 信任 , 可 以 减少 完成 源 自 其 
中 任 一 域 的 身份 验证 求 所 需 的 时 间 。 


(2 ) 何 时 创建 林 信任 


只 能 在 一 个 Windows Active Directory 林 的 林 根 域 和 另 一 个 Windows Active Directory 林 的 林 根 
域 之 间 创 建 林 信任 , 此 时 可 以 为 目录 林 中 的 所 有 域 控制 器 提供 一 种 单 向 或 双向 的 可 传递 信任 关系 。 
m 使 用 单 向 林 信任 : 两 个 林 之 间 的 单 向 林 信 任 允 许 受 信任 林 的 成 员 使 用 信任 林 中 的 资源 ， 
但 此 信任 只 是 单 向 的 ; 
m 使 用 双向 林 信任 : 两 个 林 之 间 的 双向 林 信任 允许 任 一 个 林 的 成 员 使 用 另 一 个 林 中 的 资 
源 ; 每 个 林 中 的 域 隐 式 信任 另 一 个 林 中 的 域 。 


为 保证 网 络 的 安全 ， 默 认 情况 下 ， 域 与 域 之 间 是 无 法 正常 互 访 的 ， 同 一 个 域 中 的 用 户 无 法 访 
问 另 一 个 域 。 域 中 的 用 户 要 想 自 由 访问 网 络 中 的 各 个 服务 器 (不 管 是 否 属于 这 个 用 户 属于 的 域 )， 
需要 在 不 同 域 间 创 立信 任 关 系 。 


4.3.2 创建 域 间 信任 关系 


1. 网 络 参 数 设置 
在 创建 双向 信任 关系 之 前 ， 以 域 管理 员 身份 登录 域 控制 器 ， 打 开 “Intermnet 协议 版 本 4 
(TCP/IPv4) 属性 ”对 话 框 ， 将 当前 域 控制 器 的 “首选 DNS 服务 器 ”的 卫 地 址 指向 目标 域 卫 
地 址 “192.168.1.95”， 如 图 4.9 所 示 。 


cernet 协议 版 本 4 (TC?/TPe4) 民 性 下 


图 49 “Intemet 协议 版 本 4 {TCPIPv4) 属性 ”对 话 杠 
2. 创建 信任 关系 


本 案例 的 实验 环境 中 包括 两 台 彼 此 独立 的 域 控制 器 coolpen.net 和 hsnc.cn，IP 地 址 分 别 为 
192.168.1.21 和 192.168.1.25。 在 其 中 一 台 域 控制 器 (本 例 为 coolpen.net) 上 执行 如 下 操作 。 


01 依次 选择 “开始 ”一 “管理 工具 ”一 “Active 02 右 击 域名 coolpen.net, 选择 快捷 菜单 中 的 “ 属 

Directory 域 和 信任 关系 ”选项 ,显示 如 图 4.10 所 示 ”性 ”选项 ， 打 开 “coolpen.net 属性 ”对 话 框 ， 单 击 

“Active Directory 域 和 信任 关系 ”窗口 。 “信任 ”切换 至 如 图 4.11 所 示 “ 信 任 ” 选 项 卡 。 目 
前 , 该 域 中 包含 一 个 子 域 hengshui.coolpen.net, 自 
动 创建 了 信任 关系 ， 所 以 显示 在 列表 中 。 


图 4.10 “Active Directory 域 和 信任 关系 ”窗口 图 4.11 “信任 ”选项 卡 


95 


Ag 
局 Windows Server 2008 系统 安全 管理 实战 指南 


03 单 击 “ 新 建 信任 ”按钮 ， 启 动 “新 建 信任 关系 向 导 ”， 依 次 单 击 “ 下 一 步 ”按钮 ， 设 置信 任 名 称 和 信任 
方向 ， 如 图 4.12 所 示 。 信 任 名 称 可 以 使 对 方 域 控制 器 的 NetBIOS 或 DNS 名 称 。 


了 分 个 
ES Ed SE QR 
Ee 过 人 信人 入: 
[a I 
ld 
和 A 2 
ert em 
Fl 
pee a 
c 
A 
-$m[T-Sm A 0 IE WR 


图 4.12 设置 信任 名 称 和 方向 


04 依次 单 击 “下 一 步 ” 按 钮 ， 选 择 信任 方 和 设置 信任 密码 ， 如 图 4.13 所 示 。 人 
理 员 权限 ， 可 以 通过 选择 “此 域 和 指定 的 域 ” 单 选 按钮 ， 同 时 创建 双方 外 部 信任 ， 否 则 选择 “只 是 这 
域 ” 单 选 按钮 ， 有 对 方 域 控 制 器 的 管理 员 完 成 相应 操作 即 可 。 


信任 广 人 
如 果 在 了 个 中 有 适当 权限， 多 可 以 六 信 任 关系 3 有 Q 
ie hme 
这 入 在 失重 引 中 有 管理 人 9 户 的 用 户 名 年 码 。 
[TO 国 
EL |000000999 


‘so[FBm] vA | un | 


图 4.13 选择 信任 方 并 设置 密码 


05 依次 单 击 “ 下 一 步 ” 按 钮 ， 显 示 设置 摘要 并 开始 创建 信任 关系 ， 直 至 创建 信任 关系 完毕 ， 如 图 4.14 所 
示 。 创 建 完 毕 后 ， 还 可 继续 对 该 信任 关系 的 某 些 选项 进行 配置 ， 根 据 创 建 过 程 中 选择 选项 的 不 同 ， 配 置 
选项 也 会 有 所 不 同 。 


选择 信任 完毕 © 售 任 创建 完毕 人 
信任 向 5 已 丰 好 人 计 入 任 员 | 所 26 信任 关系 。 多 


tb 撕 定 二 中 的 月 户 也 
信任 关 到 外 部 
话 身 从 过 证 损 别 ， 在 本 地 和 证 村 过 生 全域 性 身 的 过 证 * 


要 列 这 个 信任 过 行 更 区 ,表单 二 "上 一 步 ”， 页 3 信任， 请 间 击 "下 一 步 ” 村 信任 ,请 浊 而 “下 一" 。 
:| EE 


图 4.14 信任 创建 完毕 
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06 依次 单 击 “ 下 一 步 ” 按钮， 确认 当前 信任 关系 的 传 出 和 传 入 类 型 ， 如 图 4.15 所 示 。 如 果 在 “信任 方 ” 
对 话 框 中 ， 选 择 了 “只 有 这 个 域 ” 单 选 按钮 ， 即 只 在 当前 域 控制 器 上 创建 信任 关系 操作 ， 则 此 处 应 选择 
“和 否 ， 不 要 确认 传 出 信任 ” 单 选 按钮 ,“ 确 认 传 入 信任 ”对 话 框 的 设置 同样 如 此 。 


EEE 
"HE 


图 4.15 是 否 确认 传 出 和 传 入 信任 


提示 “如 果 创建 信任 关系 过 程 中 选择 的 是 “ 单 向 : 传 出 ”或 者 “ 单 向 : 传 入 ”信任 方式 ， 
则 配置 过 程 中 就 不 会 同时 出 现 “ 确 认 传 入 信任 ”和 “确认 传 出 信任 ”对 话 框 。 


7 单 击 “完成 ”按钮 关闭 新 建 信任 向 导 ， 打 开 如 图 4.16 所 示 “Active Directory 域 服务 ”对 话 框 ， 提 示 已 经 启 
用 SID (安全 识别 符 ) 筛选 功能 。SID 筛选 用 于 防止 可 能 试图 将 提升 的 用 户 权限 ， 授 予 其 他 用 户 帐户 的 恶意 
用 户 攻击 。 强 制 SID 篇 选 不 会 阻止 同一 林 中 的 域 迁移 使 用 SID 历史 记录 ， 而 且 也 不 会 影响 全 局 组 的 访问 控 
制 策略 。 对 外 部 信任 关系 而 言 ，SID 筛选 功能 会 影响 以 下 两 个 区 域 中 现 有 Active Directory 基础 结构 : 

和 将 会 从 受信 域 发 出 的 身份 验证 请 求 中 删除 SID 历史 数据 ， 这些 SID 历史 数据 包含 除 该 


受信 域外 的 所 有 域 中 的 SID。 这 会 导致 拒绝 访问 具有 用 户 旧 SID 的 资源 ; 
里 林 间 通 用 组 访问 控制 的 策略 将 需要 更 改 。 


08 单 击 “确定 ”按钮 返回 “coolpen.net 属性 ”对 话 框 ， 新 创建 的 信任 关系 已 经 显示 在 列表 中 ， 如 图 4.17 所 示 。 
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在 另 一 台 域 控制 器 〈 本 例 中 的 hsnc.cn) 上 ， 执 行 如 下 操作 : 


0 1 打开 “Active Directory 域 和 信任 关系 ”窗口 ， 右 击 域名 hsnc.cn， 选 择 快捷 菜单 中 的 “属性 ”选项 ， 打 开 
“hsnc.cn 属性 ”对 话 框 ， 切 换 至 如 图 4.18 所 示 “ 信 任 ” 选 项 卡 ， 默认 已 经 显示 了 刚刚 创建 的 信任 关系 。 


提示 “如 果 创建 的 是 单 向 信任 关系 ， 则 已 

4 创建 的 信任 关系 只 会 出 现在 “ 受 此 
域 信任 的 域 (外 向 信任 )” 或 “此 域 
信任 的 域 (内 向 信任 )” 中 的 一 个 列 
表 框 中 ， 但 确认 创建 信任 关系 的 操 
作 步 又 与 双向 信任 完全 相同 。 


FT 
ES 


0 2 在 “ 受 此 域 信任 的 域 (外 向 信任 ) ”列表 框 中 ， 选 
择 “coolpen.net” 并 单 击 “属性 ”按钮 ， 打 开 
“coolpen.net 属性 ”对 话 框 。 单 击 “ 验 证 ” 按 
钮 ， 显 示 “Active Directory 域 服务 ”对 话 框 ， 验 图 4.18 显示 hsnc.cn 属性 
证 信任 传 入 方向 时 ， 必 须 有 对 方 域 控制 器 的 管理 
员 权限 。 选 择 “是 ， 验 证 传 入 信任 ” 单 选 按钮 ， 并 在 “用 户 名 ”和 “密码 ”文本 框 中 ， 分 别 输入 域 控制 
器 coolpen.net 上 的 管理 员 帐户 名 称 和 密码 。 如 图 4.19 所 示 。 

03 单 击 “ 确 定 ”按钮 ， 完 成 传 入 信任 验证 之 后 ， 还 需要 在 “此 域 信任 的 域 (内 向 信任 ) ”选项 框 中 ， 单 击 
“属性 ”按钮 ， 执 行 同样 操作 ， 以 完成 传 出 信任 的 验证 。 

4 在 域 属性 对 话 框 的 “身份 验证 ”选项 卡 中 ， 还 可 以 对 用 户 在 各 个 域 上 执行 的 身份 验证 方式 进行 选择 ， 
在 如 图 4.20 所 示 “coolpen.net 属性 ”对 话 框 中 ， 可 以 为 来 自 coolpen.net 域 的 用 户 帐户 选择 身份 验 
证 范围 。 


了 


生出 tft5pe 要 这 样 执 ， 您 多 笑 有 “eolptn aet 的 管 


并 且 忆 去 证 Barbero 
信任 方向 0) 


个 否 ， 不 始 证 传 入 信任 四 ) 
个 是 ， 验证 传 入 信任 人 ) 
0 手 和 在 有 沁 加权 届 兴 的 用 户 和 和。 


RAM: [Gm 可 | 
[E777 777 


E24 


] 


Cw ww | 


| _ 记 用 内 EE 孙 | 2 | 


图 4.19 设置 coolpen.net 属性 图 4.20 “身份 验证 ”选项 卡 
包括 如 下 两 种 身份 验证 方式 : 


四 全 域 性 身份 验证 : 域 控制 器 coolpen.net 上 的 用 户 使 用 域 控制 器 hsnc.cn 上 的 资源 时 ， 需 
要 通过 两 台 域 控制 器 上 设置 的 所 有 身份 验证 方式 ; 
m 选择 性 身份 验证 : 域 控制 器 hsnc.cn 将 不 会 对 来 自 域 控制 器 coolpen net 的 用 户 访问 进行 
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任何 身份 验证 ， 对 hsnc.cn 下 属 子 域 同样 具有 不 受 身份 验证 的 “特权 ”。 


至 此 两 台 域 控制 器 之 间 即 可 成 功 建立 信任 关系 ,这 两 个 域 的 用 户 即 可 以 自由 访问 另外 一 个 


域 的 信息 (如 果 选 择 单 向 信任 则 另 当 别 论 )。 如 图 4.21 所 示 ， 是 一 台 加 入 域 控制 器 coolpen.net 


主机 名 为 coolpen-c8 的 计算 机 的 登录 窗口 ， 在 “登录 到 ”下 拉 列 表 中 显示 了 本 地 计算 机 、 域 控 


制 器 coolpen.net 以 及 其 所 有 信任 的 域 ， 用 户 可 根据 需要 选择 登录 到 的 对 象 。 


图 4.21 “登录 到 Windows” 窗 口 


4.4 权限 委派 


在 Windows Server 2008 网 络 中 , 可 将 单个 组 织 单位 和 独立 域 的 管理 权限 彻底 委派 给 用 户 ， 


这 样 可 减少 需要 具有 较 高 管理 权限 的 管理 员 用 户 帐 户 。 通过 委派 , 让 信任 用 户 可 以 在 一 个 特定 
容器 内 改变 属性 、 创 建 或 删除 某 种 类 型 的 对 象 以 及 更 改革 种 类 型 对 象 的 某 些 属性 等 。 


4.4.1 权限 委派 概述 


通过 在 域 中 创建 组 织 单位 并 将 特定 组 织 单位 的 管理 控制 权 , 委派 给 特定 用 户 或 组 , 可 将 管 


理 控制 权 委派 给 域 树 的 任何 层次 。 例如， 可 以 创建 一 个 组 织 单位 , 该 组 织 单 位 允许 将 某 个 部 门 


(如 “图 书馆 ”) 的 所 有 分 支 中 ， 所 有 用 户 和 计算 机 帐户 的 管理 控制 权 指派 给 用 户 。 也 可 以 只 


把 部 门 内 的 某 些 资源 (例如 计算 机 帐户 ) 的 管理 控制 权 指 派 给 用 户 。 另 一 种 可 能 的 管理 控制 委 


派 是 将 “图 书馆 ”组 织 单位 (而 不 是 “图 书馆 ”组 织 单位 内 包含 的 任何 组 织 单位 ) 的 管理 控制 
权 指 派 给 用 户 。 


Active Directory 定义 了 特定 的 权限 和 用 户 权 利 , 可 用 于 委派 或 限制 管理 控制 权 。 通 过 使 用 


组 织 单位 、 组 和 权限 的 组 合 ， 可 以 定义 某 个 人 最 适合 管理 范围 ， 可 以 是 整个 域 、 域 内 的 所 有 组 
织 单位 ， 或 单个 组 织 单位 。 


使 用 “控制 委派 向 导 ”或 通过 “授权 管理 器 ”控制 台 , 可 以 将 管理 控制 权 指派 给 用 户 或 组 。 


这 两 种 工具 都 允许 给 特定 用 户 或 组 指派 权利 或 权限 。 例 如 , 可 以 为 用 户 授予 修改 “帐户 所 有 者 ” 
属性 的 权限 ， 而 不 指派 删除 该 组 织 单位 中 的 帐户 权限 。 正 如 其 名 称 所 示 ,“ 控 制 委派 向 导 ” 人 多 
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许 使 用 向 导 委派 管理 任务 ， 该 向 导 将 带领 用 户 逐 步 经 过 整个 过 程 。“ 授 权 管理 器 ”是 一 个 也 多 
许 委派 管理 的 Microsof 管理 控制 台 。“ 授 权 管理 器 ” 比 “ 控 制 委派 向 导 ” 提 供 了 更 大 的 灵活 性 ， 
但 更 加 复杂 。 


4.4.2 ”委派 操作 权限 


默认 情况 下 ， 在 Windows Server 2008 域 中 ， 可 以 使 用 如 下 两 种 方式 ， 将 普通 权限 (以 在 
“阅览 室 ”OU 中 “创建 子 对 象 ”权限 为 例 ) 委派 给 指定 的 用 户 帐户 或 组 (以 “liuxh” 帐 户 为 
例 )。 一 是 直接 在 高 级 选项 模式 下 ， 将 权限 委派 给 指定 的 全 局 安全 组 或 组 中 的 对 象 ， 二 是 在 任 
意 模 式 下 ， 借 助 委派 控制 向 导 ， 将 操作 权限 委派 给 指定 对 象 。 


1. 高 级 功能 模式 权限 委派 
默认 情况 下 ,“Active Directory 用 户 和 计算 机 ”窗口 中 显示 的 只 是 对 象 的 普通 属性 设置 ， 


但 委派 权限 需要 修改 对 象 的 “安全 ”属性 ， 必 须 切 换 到 “高 级 ”功能 模式 下 执行 。 另 外 ， 需 要 
委派 的 操作 权限 ， 也 可 以 分 为 普通 权限 和 特殊 权限 两 种 ， 操 作 方法 略 有 不 同 。 


(1) 普通 权限 
“普通 权限 ”只 是 一 些 常用 权限 ， 如 读 取 、 写 入 、 完 全 控制 等 。 


01 以 管理 员 帐 户 登录 域 控制 器 ， 在 “Active Directory 用 户 和 计算 机 ”窗口 中 ， 单 击 “ 查 看 ”菜单 中 的 “高 
级 功能 ”选项 ， 如 图 4.22 所 示 。 

2 右 击 “阅览 室 ” 组 织 单位 ， 选 择 快捷 菜单 中 的 “属性 ”选项 ， 打 开 “ 阅 览 室 属性 ”对 话 框 ， 切 换 到 如 

4.23 所 示 “ 安 全 ”选项 卡 。 要 承担 委派 权限 的 用 户 帐户 liuxh i “组 或 用 户 名 ”列表 

中 。 单 击 “添加” 按钮， 打开 ve 计算 机 或 组 ”对 话 框 ， 在 “输入 对 象 名 称 来 选择 ”文本 框 中 ， 

输入 用 户 帐户 名 liuxh 并 单 击 “ 检 查 名 称 ”按钮 ， 验 证 是 否 正确 。 


ETTTTTTETIT jiqly 
em 半 a FE 雪人 |comy | 属性 编 加 器 | 
加 : 有关 各 (6); 
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最 (ert ( 先 闫 比 对 名 突 型 S): 
[RE EE 对 象 类 各) 
主机 位 置 0) 

pom fusem 起 友 0 


ondlls CeJ_w | 
了 疙 访 问 光 天 和 和 三 
2 EE 
图 4.22 高 级 功能 菜单 项 图 4.23 “添加 被 委派 操作 权限 的 用 户 帐户 
03 单 击 “ 确 定 ” 按 钮 ， 将 其 添加 到 “组 或 用 户 名 ”列表 中 ， 选 中 “liuxh” 帐 户 名 ， 并 在 对 应 的 “liuxh 的 


权限 ”列表 中 ， 选 中 “创建 所 有 子 对 象 ”权限 的 “人 允许” 复 选 框 ， 如 图 4.24 所 示 。 系 统 默认 只 赋予 用 
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户 “ 读 取 ” 权 限 ， 此 处 可 以 保留 该 权限 ， 也 可 以 删除 。 
04 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 


为 了 验证 委派 权限 是 否 生效 ， 可 以 在 网 络 中 任意 工作 站 上 ， 以 liuxh 帐户 登录 到 域 ， 并 通 
过 控制 台 ， 远 程 连接 到 域 控制 器 ， 打开“Active Directory 用 户 和 计算 机 ”窗口 。 在 “阅览 室 ” 
组 织 单位 上 ， 单 击 鼠 标 右键 ， 会 发 现 快捷 菜单 中 的 “新 建 ” 选 项 ， 如 图 4.25 所 示 。 默 认 情况 
下 ， 普 通用 户 帐户 在 其 他 任何 组 织 单位 或 容器 上 ， 都 不 会 拥有 该 权限 ， 即 快捷 菜单 中 不 会 出 现 


阅览 室 属性 xl 
常规 | 管理 者 | 对 象 安全 |comt | 属性 编辑 尖 | SS! (RUSE TA etm hrc NPBER G 
组 或 用 户 名 (9); ET lel 


eG ed-deL.LEEA 


Cj]_W | 疯 W | 而 


图 4.24 赋予 用 户 权限 图 4.25 ”用户 行使 被 委派 的 权限 


注意 “用 于 远程 过 接 城 控制 加 管理 控制 台 的 计算 机 ， 必 须 已 安装 Active Directory 服务 ， 
鸠 否则 无 法 添加 “Active Directory 用 户 和 计算 机 ”管理 单元 。 


委派 的 权限 只 能 作用 于 目标 对 象 ， 即 不 会 自动 传播 到 其 所 包含 的 子 对 象 上 。 在 本 例 中 ， 
liuxh 帐户 只 能 在 “阅览 室 ” 组 织 单位 中 创建 子 对 象 ， 如 OU、 用 户 、 组 等 ， 但 无 法 在 这 些 子 
OU 或 组 中 继续 创建 对 象 。 


(2 ) 特殊 权限 


“特殊 权限 ”是 针对 “普通 权限 ”而 言 的 ， 不 仅 权限 种 类 多 于 普通 权限 ， 更 重要 的 是 ， 权 
限 划分 更 加 详细 , 管理 员 可 以 通过 它 进行 更 为 准确 的 权限 委派 , 确保 网 络 安全 。 仍 以 “阅览 室 ” 
组 织 单位 和 liuxh 帐户 为 例 , 不 同 的 是 ， 只 赋予 用 户 帐户 在 该 OU 中 创建 用 户 “ 帐 户 ” 的 权限 ， 
而 不 允许 创建 其 他 类 型 子 对 象 。 


01 打开 “阅览 室 属性 ”对 话 框 的 “安全 ”选项 02 在 “权限 项 目 ”列表 中 选中 liuxh 帐户 对 应 的 项 
卡 ， 单 击 “ 高 级 ”按钮 ， 显 示 如 图 4.26 所 示 “ 阅 览 ” 目 ， 单 击 “ 编 辑 ”按钮 ， 显 示 如 图 4.27 所 示 “ 阅 览 室 
室 的 高 级 安全 设置 ” 对话 框 ， 在 这 里 可 以 查看 当前 。” 的 权限 项 目 ”对 话 框 。 取 消 “ 创 建 所 有 子 对 象 ”权限 
作用 于 该 对 象 的 所 有 权限 项 目 。 的 “允许 ” 复 选 框 ， 仅 保留 “创建 用 户 对 象 ” 即 可 
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口 
口 
口 
口 
口 
可 
口 
口 
口 
口 


| 


| 


图 4.26 “阅览 室 的 高 级 安全 设置 ”对 话 框 图 4.27 “阅览 室 的 权限 项 目 ” 对 话 框 


此 时 ， 再 次 测试 iuxh 帐户 被 委派 的 操作 权限 ， 即 可 发 现 “新 建 ” 选 项 中 只 包括 “用 户 ” 
对 象 类 型 了 ， 如 图 4.28 所 示 。 


ETIIEIETITE 


图 4.28 被 委派 的 特殊 权限 


2. 委派 控制 向 导 


与 上 述 方式 相 比 , 委派 控制 向 导 方式 更 为 简单 ,无 须 更 改 显 示 模 式 , 即 可 将 操作 权限 准确 
指派 给 用 户 帐 户 或 组 。 


01 打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 右 击 “ 阅 览 室 ”并 选择 快捷 菜单 中 的 “委派 控制 ”选项 ， 
启动 控制 委派 向 导 。 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 4.29 所 示 “ 用 户 和 组 ”对 话 框 。 在 这 里 需要 将 用 
于 承担 委派 权限 的 用 户 帐户 添加 到 “ 选 定 的 用 户 或 组 ”列表 中 。 
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用 户 或 组 和 
过 定 一 个 或 多 个 您 起 天 秩 控 犁 的 用 户 或 组 * 
A) 选择 朋 户 、 计 莽 机 或 组 4 
选择 此 对 象 类 型 6): 
[EE 
查找 位 置 中 ); 
Fas | 
输入 对 象 名 称 末 过 择 示 的 四 : 
一 | sto | 
BW Cw |]_ ww |， 


图 4.29 选择 用 户 和 组 


02 单 击 “ 下 一 步 ” 按钮， 显示 如 图 4.30 所 示 “ 要 委派 的 任务 ”对 话 框 。 在 “委派 下 列 常见 任务 ”列表 中 ， 
选中 “创建 、 删 除 和 管理 用 户 帐户 ”和 “创建 、 删 除 和 管理 组 ” 复 选 框 。 
03 单 击 “ 下 一 步 ”按钮 ， 显 示 “ 完 成 控制 委派 向导 ”对 话 框 ， 并 显示 了 前 面 所 设置 的 信息 ， 如 图 4.31 所 示 。 


完成 控制 委派 向 导 


6 
人 全 已 志 地 完 术 制 和。 


要 委派 的 任务 6 
您 可 选择 常见 任务 或 自 定义 您 自己 的 任务 


个 要 六 下 列 常见 任务 0); 


下 列 Active Directory 


制 | 


池 


et/ 阅览 室 


口 重 轩 用 户 密码 并 强制 在 下 次 登录 时 更 疏 密码 


口 读 取 所 有 用 户 信息 _ 

回 外 汗 、 出 管理 组 pment 用 户 或 计算 机 是 

口 信 组 成 员 身 份 Ligh Qiuxhaeoelpen net) 

口 御 到 第 时 拉 ets 

口 生成 第 略 的 结果 集 计划 ) 过 | 称 选择 了 委派 下 列 任务 ee 
a 谎 : 脂 二 目 


着 要 关闭 此 向 导 ， 请 单 击 “ 完 成 ”。 


7 Fm | | 


Md)] La] 者 助 


图 4.30 “要 委派 的 任务 ”对 话 框 图 4.31 “完成 控制 委派 向 导 ” 对 话 框 
04 单 击 “ 完 成 ” 即 可 完成 委派 任务 操作 。 


4.4.3 ”RODC 的 部 署 与 应 用 


在 Windows Server 2008 系统 中 ， 管 理 员 既 可 以 通过 AD DS 安装 向 导 安装 ， 也 可 以 使 用 
dcpromo /adv 的 命令 行 安装 。 使 用 向 导 模式 更 加 直观 ， 适 用 于 初级 用 户 。 推 荐 使 用 AD DS 安 
装 向 导 的 高 级 安装 模式 ， 在 高 级 模式 下 用 户 可 以 设置 更 多 选项 。 

1. RODC 部 署 要 求 

如 果 需 要 部 署 RODC， 在 网 络 中 必须 有 一 台 安 装 或 者 升级 到 的 Windows Server 2008 的 域 
控制 器 。 部 署 之 前 ， 管 理 员 应 注意 以 下 事项 : 
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和 Active Directory 数据 库 复制 。RODC 支持 从 Windows Sever 2008 域 控制 器 复制 架构 分 
区 和 配置 分 区 的 数据 , 但 是 RODC 只 能 从 来 自 同一 域 的 Windows Server 2008 的 可 读 写 
域 控制 器 复制 域 分 区 的 数据 更 新 。 因 此 ， 在 网 络 中 至 少 安装 一 台 Windows Server 2008 
的 域 控制 器 用 于 RODC 复制 ; 

林 功 能 级 别 。 部署 RODC 需要 森林 的 功能 级 别 最 低 为 Windows Server 2003 模式 ， 建 议 
使 用 Windows Server 2008 模式 。 用 户 可 以 通过 在 “Active Directory 域 和 信任 关系 ” 
口中 ， 提 升 到 所 需 的 林 功 能 级 别 ; 

mm Windows Server 2008 域 控制 器 的 角色 为 主 域 控制 器 ， 否 则 将 无 法 识别 RODC 使 用 的 特 
殊 的 Kerberos 票据 授权 票 (KRBTGT) 帐户 ; 

mm RODC 默认 不 缓存 帐户 ， 必 须 在 可 读 写 域 控制 器 上 启用 帐户 缓存 功能 后 ， 才 可 以 用 于 
缓存 域 用 户 帐 户 ; 

里 RODC 安装 完成 后 ， 默 认 连 接 的 是 当前 所 有 的 可 读 写 域 控制 器 ， 必 须 在 RODC 上 ， 通 
过 “更 改 域 控制 器 ”使 其 连接 到 已 部 署 的 RODC 上 。 


2. 添加 缓存 帐户 


在 主 域 控 制 器 中 ， 设 置 可 以 在 RODC 上 缓存 的 用 户 分 支 机 构 。 建 议 为 分 支 机 构 创 建 单独 
的 组 织 单位 , 在 该 组 织 单位 下 创建 组 , 组 的 创建 规则 建议 符合 企业 的 行政 管理 架构 ， 以 降低 管 
理 的 复杂 度 。 默 认 情况 下 ，RODC 并 未 保存 所 有 域 用 户 帐户 的 信息 ， 可 以 按照 如 下 方法 ， 将 
需要 缓存 的 用 户 帐户 ， 添 加 到 RODC 的 缓存 策略 中 。 


01 在 RODC 上 , 依次 选择 “开始 ”一 “管理 工具 ” 0 2 依次 选择 “ coolpen.net ”一 “Domain 
一 “Active Directory 用 户 和 计算 机 ”选项 ， 打 开 如 ”Controllers ”选项 ， 双 击 “LIUXH-RODC ”显示 
图 4.32 所 示 “Active Directory 用 户 和 计算 机 ?窗口 ， “LIUXH-RODC 属性 ”对 话 框 ， 切 换 到 如 图 4.33 
此 时 连接 到 的 域 控制 器 状态 为 “只 读 ”。 所 示 “ 密 码 复制 策略 ”选项 卡 。 


到 


1 1 
大 上 全 ap | | sa im 


Hi 


局 可 NR 
CEIEIE] ee LT EE a 
E] st 


yy Rt MA COMA cion 


高 级 四 2 RH 三 


图 4.32 “Active Directory 用 户 和 计算 机 ”窗口 图 4.33 “密码 复制 策略 ”选项 卡 


提示 单 击 “ 高 级 ”按钮 ， 显 示 如 图 434 所 示 “ 以 下 项 目的 高 级 密码 复制 策略 
\ 记 DIDXHRODC” 对 话 框 ， 这 里 显示 的 是 密码 复制 策略 的 高 级 功能 ， 用 户 可 以 根据 
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需要 选用 。 在 “策略 使 用 率 ”选项 卡 的 “显示 满足 下 列 条 件 的 用 户 和 计算 机 ”下 拉 
列表 中 ， 包 括 如 下 选项 : 


里 选择 “其 密码 已 经 存储 在 只 读 域 控制 器 中 的 帐户 ”选项 ， 除 了 RODC 自身 的 计 
算 机 帐户 和 Kerberos 票据 授权 (KRBTGT) 帐 户 之 外 ， 默 认 情况 下 没有 缓存 任何 
帐户 的 密码 。 

虽 选择 “已 通过 此 只 读 域 控制 器 身份 验证 的 帐户 ”选项 , 显示 在 RODC 进行 身份 验证 
的 用 户 以 及 计算 机 ,通过 此 列表 确定 允许 哪些 帐户 的 密码 , 在 此 RODC 域 控制 器 中 
进行 缓存 。 


T T 
Bdet B302l eolyer mas/Vsers 而 户 2008/10/13 16:48.36 3003111724| 
coolper meta 。 计算 机 。 2008/10/13 16:16 11 于 不 其 


图 4.34 “以 下 项 目的 高 级 密码 复制 策略 LIUXH-RODC” 对 话 框 
03 单 击 “添加” 按钮， 显示 如 图 4.35 所 示 “ 添 加 组 、 用 户 和 计算 机 ”对 话 框 。 设 置 RODC 域 控制 器 中 人 允 
许 或 者 拒绝 缓存 的 组 、 用 户 和 计算 机 ， 这 里 选择 “允许 该 帐户 的 密码 复制 到 此 RODC 中 ” 单 选 按钮 。 
04 单 击 “ 确 定 ”按钮 ， 显 示 如 图 4.36 所 示 “ 选 择 用 户 、 计 算 机 或 组 ”对 话 框 ， 在 “输入 对 象 名 称 来 选择 ” 
文本 框 中 ， 输 入 想 要 添加 的 域 用 户 帐户 。 


| 运 拓 用 户 、 计 算 机 或 组 


水 加 组 、 用 户 和 计算 机 


图 4.35 “添加 组 、 用 户 和 计算 机 ”对 话 框 图 4.36 “选择 用 户 、 计 算 机 和 组 ”对 话 框 


(05 单 击 “确定” 按钮， 关闭 “选择 用 户 、 计 算 机 或 组 ”对 话 框 ， 返回 到 “LIUXH-RODC 属性 ”对 话 框 ， 
如 图 4.37 所 示 ， 所 选用 户 帐户 已 被 添加 到 列表 中 。 
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mnc Kt < 
1 


他 | 管理 者 | 反 入 
党 规 。 | 报 作 系统 | 隶属 于 | 要 派 。。 密码 宙 机 六 内 


Ci mw | enw |_ ww | 
图 4.37 “LIUXH-RODC 属性 ”对 话 框 


06 单 击 “ 应 用 ”按钮 ， 设 置 生效 。 


4.5 活动 目录 的 备份 与 恢复 


Active Directory 数据 库 是 一 个 事务 处 理 数据 库 系统 。 如 果 活动 目录 崩溃 , 对 网 络 最 直接 的 
影响 是 网 络 用 户 不 能 直接 登录 , 需要 使 用 域 用 户 方式 验证 访问 的 应 用 系统 服务 则 不 能 进行 数据 
访问 ，CA 证 书 不 能 认证 等 。 因 此 ， 网 络 管理 员 需 要 定期 备份 活动 目录 数据 库 ， 当 活动 目录 数 
据 库 出 现 问题 时 ， 可 以 通过 备份 的 数据 还 原 活动 目录 数据 库 。 


4.5.1 安装 Windows Server Backup 


Windows Server 2008 中 没有 提供 类 似 Windows Server 2003 或 Windows XP 的 “备份 和 还 
原 向 导 ”， 取 而 代 之 的 是 一 个 叫 作 “Windows Server Backup” 的 备份 工具 ， 该 工具 默认 是 不 被 
安装 的 ， 需 要 在 “服务 器 管理 器 ”中 手动 添加 。 

打开 “服务 器 管理 器 ”窗口 ， 展 开 “ 功 能 ”， 单 击 窗口 右 侧 的 “添加 功能 ”超级 链接 ， 打 
开 “ 添 加 功能 向 导 ” 在 “选择 功能 ”对 话 框 中 ， 选 中 “Windows Server Backup 功能 ” 复 选 框 。 
系统 默认 不 会 选择 “命令 行 工具 ”， 需 要 手动 选择 。 依 次 单 击 “ 下 一 步 ”按钮 ， 即 可 开始 安装 ， 
如 图 4.38 所 示 。 
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图 4.38 安装 Windows Server Backup 


4.5.2 备份 活动 目录 数据 库 


活动 目录 是 一 种 实时 性 数据 库 ， 其 中 包含 Ntds.dit (活动 目录 数据 库 )、EdbJlog (事件 日 志 )、 
Temp.edb (记录 数 据 库 最 后 .个 缓冲 区 的 检查 点 文件 和 名 时 性 的 数据 库 文件 ) 等 几 个 文件 。 事 实 
上 ， 目 录 服 务 是 一 个 组 合 性 系统 ， 包 括 目录 数据 存储 和 用 户 或 程序 存 取信 息 的 相关 服务 。 


01 单 击 “ 开 始 ”一 “命令 提示 符 ” 选 项 , 打开“ 命 ”0 2 在 命令 行 提示 符 下 键入 如 下 命令 : 
令 提 示 符 ”窗口 ， 输 入 如 下 命令 : wbadmin start systemstatebackup -backuptarget:f: 
Wbadmin get disks 回 车 执行 ， 显 示 询 问 是 否 要 将 系统 状态 从 C 盘 备份 


可 车 执行 ， 显 示 服 务 器 已 经 联机 的 和 
所 示 。 其 中 ，F 盘 是 将 用 来 存储 备份 的 


图 4.39 ”到 F 盘 ， 如 图 4.40 所 示 。 


4.39 已 经 联机 的 磁盘 4.40 询问 是 否 要 将 系统 状态 从 C 盘 备 份 到 F 盘 


0 3 按 下 键盘 字母 “Y”， 按 回 车 键 创建 需要 
动 文 件 备份 并 显示 备份 进度 。 备 份 完 成 ， 并 且 创 和 


本 并 搜索 系统 状态 文件 。 搜 索 完成 后 ， 开 始 启 
这 如 图 4.41 所 示 。 
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4.41 备份 文件 及 日 志 


04 在 命令 行 提示 符 下 输入 # 
回 车 执行 ， 显 示 备 人 


: Wbadmin get versions 
包括 备份 时 间 、 备 份 目标 及 可 以 恢复 和 等 。 至 此 ， 活 动 目录 备份 完成 。 


4.5.3 ”恢复 活动 目录 数据 库 


Windows Server Backup 采用 了 新 的 数据 恢复 机 制 ， 如 果 只 是 恢复 文件 及 文件 来 ， 可 以 使 
用 恢复 向 导 完 成 ; 如 果 恢 复 Active Directory 数据 库 ， 则 需要 在 目录 还 原 模式 下 使 用 
“Wbadmin.exe” 命 令 完 成 。 


01 重新 启动 系统 ， 选 择 “ 目 录 还 原 模式 ”| 统管 理 员 帐户 登录 到 本 地 计算 机 。 注 8 时 域 是 
不 可 用 的 ， 只 能 登录 到 本 地 系统 。 打 开 “ 命 令 提 示 符 ”窗口 ， 输 入 命令 : wbadmin get versions 回 车 执 
行 ， 显 示 Active Directory 服务 器 的 备份 列表 及 需要 注意 每 次 备份 中 的 版 本 标识 符 ， 如 图 4.42 所 示 。 

02 在 命令 行 提示 符 下 ， 输 入 命令 ; WBADMIN START SYSTEMSTATERECOVERY -version: 
06/01/2008-08:49 回 车 执行 ,命令 成 功 执行 ， 提示 网 络 管理 员 是 否 要 执行 系统 状态 恢复 操作 。 按 下 键盘 
字母 “Y”， 确 认 执 行 系统 ， 接 加 车 键 开 妈 站 香 要 还 原 的 文件 ， 如 图 4.43 所 示 。 文 件 处 理 完成 
后 ， 开 始 从 备份 还 原文 件 并 显示 还 原 进度 。 

EE 


图 4.42 备份 列表 图 4.43 处理 要 还 原 的 文件 


并 创建 了 还 原 日 志 。 同 时 提示 需要 重新 启动 计算 机 尝试 恢复 系统 文件 ， 如 图 4.44 


区 


0 4 重新 启动 系统 并 登录 ， 提 示 系统 恢复 操作 已 完成 ， 如 图 4.45 所 示 。 按 回 车 键 ， 退 出 命令 行 工具 即 可 。 


第 4 章 活动 目录 安全 起 


理 员 - 命令 提 示 符 


图 4.44 ”提示 需要 重新 启动 系统 图 4.45 恢复 操作 已 完成 


活动 目录 (Active Directory) 是 指 存储 网 络 资源 信息 的 目录 ，AD DS 域 服务 是 Windows 
Server 2008 的 核心 服务 。 本 章 主要 介绍 了 AD DS 域 服务 的 安全 功能 及 应 用 , 包括 RODC 的 应 
用 、 权 限 委 派 、 用 户 帐户 权限 审核 等 。 用 户 帐户 是 常用 的 目录 对 象 之 一 , 合理 分 配 每 个 用 户 帐 
户 的 访问 控制 权限 是 网 络 安全 的 主要 任务 。 权限 继承 是 活动 目录 管理 中 不 可 或 缺 的 部 分 , 它 可 
帮助 管理 员 快 速 部 署 用 户 权 限 , 但 多 重 继承 也 可 能 导致 权限 混乱 ， 从 而 引发 安全 漏洞 。 权限 委 
派 功能 可 避免 权利 过 分 集中 ， 提 高 网 络 安全 性 ， 减 轻 了 管理 员 的 工作 负担 。 

默认 情况 下 , 域 与 域 之 间 是 无 的, 域 中 的 用 户 要 想 自由 访问 网 络 中 不 同 域 的 服 
务 器 , 需要 在 不 同 域 间 创立 信任 关系 。 通 过 委派 , 让 信任 用 户 可 以 在 一 个 特定 容器 内 改变 属性 、 
创建 或 删除 某 种 类 型 的 对 象 以 及 更 改革 种 类 型 对 象 的 某 些 属性 等 。 


习 题 


. 如 何 为 对 象 设置 和 取消 权限 继承 ? 

. 如 何 对 AD DS 进行 域 服务 配置 ? 

. 按照 组 作用 域 的 不 同 ， 可 以 将 组 分 为 哪 几 类 ， 功 能 有 何 区 别 ? 
简要 介绍 什么 是 权限 委派 ， 可 以 委派 的 权限 包括 哪些 ? 


上 mm 一 
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实验 : 应 用 RODC 缓存 用 户 信息 


实验 目的 

掌握 RODC 在 网 络 安全 管理 中 的 应 用 。 

实验 内 容 

为 现 有 可 读 写 域 控制 器 coolpen net， 部 署 一 台 RODC 域 控制 器 ， 并 将 指定 的 用 户 帐户 密 


码 缓存 到 RODC 数据 库 中 。 
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1. 打造 安全 的 Windows Server 2008 服务 器 操作 系统 。 

2. 将 coolpen.net 的 林 功 能 级 别提 升 为 Windows Server 2008 或 Windows Server 2003。 
3. 部 署 RODC 域 控制 器 。 

4. 添加 缓存 帐户 信息 。 


入 和 


第 巳 章 


用 户 帐 户 安 全 


户 帐户 是 通知 Windows 用 户 可 以 访问 哪些 文件 和 文件 夹 ， 可 以 对 计算 
机 和 个 人 首选 项 进行 哪些 更 改 的 信息 集合 。 使 用 用 户 帐户 , 可 以 多 人 共用 同一 
合计 算 机 , 但 仍然 保留 自己 的 文件 和 环境 设置 。 每 个 人 都 可 以 使 用 用 户 名 和 密 
码 访问 其 用 户 帐户 。 在 Windows Server 2008 系统 中 ， 管 理 员 可 以 创建 多 个 用 
户 帐户 , 通过 设置 不 同 的 系统 访问 权限 和 操作 权限 从 而 保证 计算 机 系统 和 网 络 
的 安全 。 


本 章 导读 

旧 系统 管理 员 帐 户 管理 
加 ”用户 帐 户 管理 

加 ”用户 帐 户 安全 

加 ”用户 帐 户 控 制 
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5.1 系统 管理 员 帐 户 管理 


系统 管理 员 帐 户 (默认 名 称 为 Administrator) 是 Windows 系统 中 的 特殊 帐户 ， 它 拥有 对 
系统 的 绝对 访问 权限 ， 可 以 直接 删除 、 修 改 或 添加 普通 用 户 帐户 。 拥 有 管理 员 权限 ， 也 就 拥有 
了 整个 网 络 和 系统 的 生 杀 大 权 , 这 也 使 得 管理 员 帐户 成 为 黑客 的 主要 攻击 目标 。 而 对 于 猜测 管 
理 员 帐 户 名 和 密码 的 攻击 方式 , 普通 的 防火 墙 软件 和 策略 是 无 法 预防 的 , 最 好 的 方法 就 是 加 强 
对 系统 帐户 的 安全 管理 。 


5.1.1 系统 管理 员 密 码 设置 


在 早期 的 Windows 2000 Server 网 络 中 ， 对 系统 管理 员 帐 户 密码 是 没有 强制 要 求 的 ， 用 户 
可 以 根据 习惯 选择 是 否 使 用 密码 ， 也 可 以 根据 习惯 使 用 哪 种 密码 。 在 Windows Server 2003 系 
统 中 允许 管理 员 帐 户 不 设置 密码 , 不 同 的 是 管理 员 可 以 通过 配置 帐户 安全 策略 , 提高 用 户 帐 户 
密码 的 安全 性 。 在 Windows Service 2008 系统 中 ， 默 认 已 经 启用 了 密码 的 复杂 性 要 求 ， 并 且 要 
求 安装 过 程 中 设置 强 密码 。 同 时 ， 为 了 确保 管理 员 帐 户 安全 ， 建 议 管理 员 定期 更 换 帐 户 密码 。 
1. 注意 事项 
在 设置 管理 员 帐 户 密码 时 ， 应 注意 以 下 问题 : 
和 切 不 可 让 账号 与 密码 相同 。 如果 将 用 户 账号 与 密码 设置 为 相同 , 许多 系统 扫描 工具 默认 
将 帐户 和 密码 作为 相同 的 设置 扫描 系统 ， 无 疑 会 省 去 攻击 者 的 很 多 力气 ; 
a 切 不 可 使 用 自己 的 姓名 。 对 于 本 单位 和 熟悉 本 单位 的 人 而 言 ， 姓 名 无 疑 是 攻击 的 首选 ， 
因为 这 几乎 谁 都 能 猜 得 到 。 另 外 ， 在 许多 黑客 编写 的 字典 中 ， 往 往 将 百 家 姓 一 一 列 出 ， 
并 放 在 字典 的 前 列 ; 
m 切 不 可 使 用 英文 词组 。 一 些 常用 或 别致 的 英文 单词 往往 是 用 户 设置 密码 时 的 最 爱 , 这 类 
密码 既 便 于 记忆 ， 又 凸显 自己 的 个 性 。 但 事实 上 ， 黑 客 也 早已 猜 到 并 详细 地 将 其 编 入 字 
典 ， 因 此 ， 建 议 不 要 使 用 英文 词组 ; 
m 切 不 可 使 用 特定 意义 的 日 期 。 以 具有 特定 意义 的 日 期 作为 密码 是 任何 人 都 十 分 喜爱 的 ， 
这 一 类 日 期 通常 是 自己 生日 、 父 母 生日 、 儿 女生 日 、 朋 友 生 日 、 重 大 节日 、 个 人 纪念 日 
等 。 不 用 说 熟悉 的 人 可 以 猜 得 到 ,即使 是 陌生 人 也 可 以 通过 穷 举 的 方式 而 得 手 。 在 黑客 
字典 中 ， 几 乎 全 部 罗列 以 上 所 有 的 几 个 组 合 ， 实 在 令 人 惊 骇 不 已 ; 
m 切 不 可 使 用 简单 的 密码 。 字 符 数 越 少 、 密 码 越 简 单 ， 在 破解 时 所 用 的 时 间 就 越 短 。 一 个 
以 穷 举 软件 每 秒 钟 可 以 重 试 10 万 次 之 多 ， 字 数 越 少 ， 字 符 越 简 单 化 ， 排 列 组 合 的 结果 
也 就 越 少 ， 也 就 越 容易 被 攻破 。 
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2. 安全 密码 原则 
欲 保证 帐户 密码 的 安全 ， 应 当 遵循 以 下 原则 : 


用 户 密码 应 包含 英文 字母 的 大 小 写 、 数 字 、 可 打印 字符 ,甚至 是 非 打 印字 符 ， 将 这 些 符 
号 排列 组 合 使 用 ， 以 期 望 达到 最 好 的 保密 效果 ; 

四 用 户 密码 不 要 太 规则 , 不 要 将 用 户 姓名 、 生 日 和 电话 号 码 作为 密码 。 不 要 用 常用 单词 作 
为 密码 ; 

四 根据 黑客 软件 的 工作 原理 ， 参 照 密码 破译 的 难 易 程度 ， 以 破解 需要 的 时 间 为 排序 指标 ， 
密码 长 度 设置 时 应 遵循 7 位 或 14 位 的 整数 倍 原则 ; 

四 在 通过 网 络 验证 密码 过 程 中 ， 不 得 以 明文 方式 传输 ， 以 免 被 监听 截取 ; 

密码 不 得 以 明文 方式 存放 在 系统 中 , 确保 密码 以 加 密 的 形式 写 在 硬盘 上 , 且 包 含 密码 的 
文件 是 只 读 的 。 加 密 的 方法 很 多 , 如 基于 单 向 函数 的 密码 加 密 ， 基 于 测试 模式 的 密码 加 
密 ， 基于 公 钥 加 密 方案 的 密码 加 密 ， 基 于 平方 剩余 的 密码 加 密 ， 基 于 多 项 式 共享 的 密码 
加 密 ， 基 于 数字 签名 方案 的 密码 加 密 等 。 经 过 上 述 方法 加 密 的 密码 , 即使 是 系统 管理 员 
也 难以 获得 ; 

昌 密码 应 定期 修改 ， 避 免 重 复 使 用 旧 密 码 ， 并 采用 多 套 密码 的 命名 规则 ; 

四 建立 账号 锁定 机 制 。 一 旦 同一 账号 密码 校 验 错误 若干 次 即 断 开 连 接 并 锁定 该 账号 ， 经 过 
一 段 时 间 才 解锁 ; 

@ 由 网 络 管理 员 设 置 一 次 性 密码 机 制 ， 用 户 在 下 次 登录 时 必须 更 换 新 的 密码 。 


3. 系统 帐户 密码 要 求 
通常 情况 下 ，Windows Server 2008 系统 对 用 户 帐户 密码 要 求 如 下 : 


里 不 包含 全 部 或 部 分 的 用 户 帐 户 名 ; 
昌 长 度 至 少 为 6 个 字符 ; 
四 包含 来 自 以 下 4 个 类 别 中 的 3 个 字符 : 
> 大 写 英文 字母 (从 A 到 Z); 
> 小 写 英 文字 母 (从 a 到 z); 
> 10 个 基本 数字 (从 0 到 9); 
> 非 字母 字符 (例如 ，!、$、#、%)。 


对 于 未 安装 Active Directory 服务 Windows Server 2003 计算 机 或 修改 了 Windows Server 
2003/2008 默认 组 策略 的 计算 机 ， 其 用 户 帐户 密码 可 以 随意 设置 。 

强 密码 具有 以 下 特征 : 

@ 长 度 至 少 有 7 个 字符 ; 

和 不 包含 用 户 的 生日 、 电 话 、 用 户 名 、 真 实 姓名 或 公司 名 等 ; 

四 不 包含 完整 的 字典 词汇 ; 

和 包含 全 部 下 列 4 组 字符 类 型 : 大 写字 母 (A,B,C…)、 小 写字 母 (ab,c…)、 数 字 (从 0~ 

9)、 非 字母 字符 (键盘 上 所 有 未 定义 为 字母 和 数字 的 字符 , 如 "~!1@#$% 人 ^&*()_+ 
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除 此 之 外 , 管理 员 帐 户 的 密码 应 当 定 期 修改 , 尤其 是 当 发 现 有 不 良 攻 击 时 , 更 应 及 时 修改 
复杂 密码 ， 以 避免 被 破解 。 为 避免 密码 因 过 于 复杂 而 忘记 ， 可 用 笔记 录 下 来 ， 并 保存 在 安全 的 


地 方 ,或 随身 携带 避免 丢失 。 其 实 , 最 安全 的 方法 就 是 不 使 用 常规 密码 ， 而 采用 电子 密 钥 等 一 
些 几乎 无 法 破解 的 登录 方式 ， 确 保 系统 安全 性 。 


5.1.2 ”系统 管理 员 帐 户 管理 


除了 设置 管理 员 帐户 复杂 密码 外 , 用 户 还 可 以 通过 更 改 默认 帐户 名 称 、 设 置 陷阱 等 方法 来 
保证 用 户 帐户 的 安全 。 


1. 更 改 Administrator 帐户 名 


由 于 Administrator 是 系统 默认 的 ， 所 以 黑客 攻击 服务 器 时 总 是 试图 获取 Administrator 帐 
户 和 密码 来 获取 最 高 权限 ， 其 后 果 可 想 而 知 。 通 常情 况 下 ， 可 以 通过 更 改 管理 员 帐户 名 称 来 降 
低 被 破解 的 概率 ， 从 而 提高 系统 的 安全 性 。 

方法 一 : 在 组 策略 中 更 改 


01 以 Administrator 帐户 登录 本 地 计算 机 ， 依 次 选择 “开始 ”一 “运行 ”命令 ， 在 “运行 ”对 话 框 
“gpeditmsc” 命令 ， 单 击 “ 确 定 ”按钮 ， 显 示 如 
0 2 单 击 “计算机 配置 ” 依次 


输入 


5.1 所 示 “ 本 地 组 策略 编辑 器 ”对 话 框 。 
展开 “Windows 设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 
在 “安全 选项 ” 右 侧 双击 “ 重 命名 系统 管理 员 账号 ”选项 ， 显 示 如 


“安全 选项 ”选项 。 
图 5.2 所 示 “ 帐 户 ， 重 命名 系统 管理 
员 帐 户 属性 ”对 话 框 ， 更 改 系统 管理 员 账 号 后 点 击 “ 确 定 ” 按 钮 ， 最 后 重启 系统 生效 。 
TEYIETITEREEEEEE -io 
广 伯 四“ 扣 作 W， 查看 W。 半 00 
各 昌 | 四 | 可 忆 | 国 柯 
[tt 
4 反 一 个 项目 查看 它 的 概述 
昌 目 fiaamr “| 党 天 tt 
0 本 
日 四 软件 设置 
日 目 tadws 设 时 
日 本 管理 机 
\ 扩 民 儒 入 | 取消 a 
图 5.1 “本 地 组 策略 编辑 器 ”对 话 框 


.图 51 .本 地 组 策略 编辑 器 ”对 话 框 ”图 52 “帐户 : 重 命名 系统 管理 员 帐 户 属性 ” 对 活 框 _ 
方法 二 : 


以 Administrator 帐户 登录 本 地 计算 机 ， 依 次 单 


“开始 ”一 “管理 工具 ”一 “计算 机 管 
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理 ” 选 项 ,打开 “计算 机 管理 ”窗口 , 依次 展开 “本 地 用 户 和 组 ”一 “用 户 ? 选 项 , 右 击 Administrator 
帐户 并 选择 “ 重 命名 ”选项 ， 输 入 新 的 帐户 名 即 可 ， 如 图 5.3 所 示 。 


Ez EE 
名 四 | 大 革 | 凑 日 避 NEE 


图 5.3 “计算 机 管理 ”对 话 框 
提示 在 更 改 新 的 帐户 名 称 时 ， 应 避免 使 用 admin、user、master 之 类 作为 管理 员 的 帐户 
\ 膀 名， 否则 帐户 的 安全 性 同样 无 法 得 到 有 效 的 保障 。 


如 果 是 域 控制 器 ， 则 可 以 依次 选择 “开始 ”一 “管理 工具 ”一 “组 策略 管理 ”命令 ， 找 到 
作用 于 根 域 的 默认 策略 “Default Domain Policy”， 右 击 并 选择 快捷 菜单 中 的 “编辑 ”命令 ， 打 
“组 策略 管理 编辑 器 ”窗口 。 依 次 展开 “计算 机 配置 ”一 “策略 ”一 “安全 设置 ”一 “本 地 
策略 ”一 “安全 选项 ” 选项， 双击 右 侧 主 窗口 中 最 下 面 的 “帐户 : 重 命名 系统 管理 员 帐 户 ” 策 
名 ， 打 开 如 图 5.4 所 示 “ 帐 户 ， 重 命名 系统 管理 员 帐 户 属性 ”对 话 框 ， 系 统 默认 是 没有 定义 
该 策略 的 ， 选 中 “定义 这 个 策略 设置 ” 复 选 框 ， 并 在 文本 框 中 输入 新 的 名 称 即 可 。 


图 5.4 “帐户 : 重 命名 系统 管理 员 帐 户 属性 ”对 话 框 


2.， 设置“ 陷阱 ”账号 

所 谓 “ 陷 阱 ”账号 主要 是 针对 最 易 遭 受 攻击 的 Administrator 帐户 而 言 的 。 管 理 员 可 以 先 
指定 一 个 系统 管理 员 帐 户 (区别 于 Administrator 帐户 )， 然 后 创建 一 个 名 称 为 Administrator 的 
普通 帐户 , 赋予 其 极 低 的 访问 和 操作 权限 ,同时 设置 超 强 的 帐户 密码 ， 从 而 避免 入 侵 者 对 真正 
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管理 员 帐 户 的 攻击 。 


01 选择 “开始 ”一 “管理 工具 ”一 “计算 机 管理 ” 2 把 刚 创建 的 Administrator 这 个 用 户 加 入 
命令 ， 在 “计算 机 管理 ”窗口 中 依次 展开 “本 地 用 户 ”Guests 组 ， 即 赋予 陷阱 帐户 最 低 的 权限 ， 如 图 5.6 
和 组 ”一 “用户” 选项 。 右 击 “ 用 户 ” 创 建 一 个 以 ”所 示 。 当 黑客 试图 获取 Administrator 账号 时 ， 不 仅 
Administrator 为 用 户 名 的 用 户 , 其 密码 设置 为 超过 16 ”可 以 延长 入 侵 时 间 ,给 管理 员 预 留 充足 的 响应 时 间 ， 
位 的 复杂 密码 ， 显 示 如 图 5.5 所 示 “ 新 用 户 ” 对 话 框 ， 而 且 就 算 他 拿 到 了 陷阱 帐户 的 账号 密码 后 ， 也 不 能 
此 用 户 名 不 会 和 原来 的 Administrator 帐户 重复 , 因为 ”进行 其 他 更 改 操作 。 


SID 是 不 同 的 。 
IAdministartor 属性 Xx| 
运程 过 制 |。 4 了 务 了 轨 文 件 。 |。 拔 入 
2 来 属 于 | 了 六 件 | 开交 | 会 活 
隶属 于 0 
ED 3 ounts 


RE Pom 
0 
摘 玉 外): | | 


ED IO000000000000000 人 80 
确认 宣 码 吕 )- [S000000000000000000 


三 用 户 下 次 属 录 时 湛 更 疏 宪 码 昌 


克 用 G) 
Pe E_n 
i nm | 这 | 了 | 请 mW | 
图 5.5 “新 用 户 ” 对 话 框 图 5.6 “Administrator 属性 ”对 话 框 


四 3 单 击 “确定” 按钮， 保存 设置 即 可 。 


5.1.3 备份 和 还 原 系统 帐户 


如 果 Windows Server 2008 系统 瘫痪 ， 则 所 有 账号 信息 都 会 自动 丢失 ， 而 解决 的 办 法 是 重 
新 安装 Windows Server 2008 系统 ， 通 过 手工 方法 将 原 有 用 户 账号 信息 恢复 成 功 并 非 一 件 容易 
的 事 , 因此, 保护 用 户 账号 信息 就 成 为 网 络 管理 员 必须 认真 面 对 的 “课题 "Windows Server 2008 
提供 的 系统 账号 备份 和 恢复 工具 ， 可 以 帮助 管理 员 轻 松 解决 问题 。 


1. 对 系统 账户 进行 备份 


01 单 击 “开始 ”按钮 ， 在 “开始 搜索 ”文本 框 中 ， 输 入 “credwiz” 命 令 并 回 车 ， 启 动 “ 存 储 的 用 户 名 和 
密码 ”向 导 ， 依 次 单 击 “下 一 步 ”按钮 ， 选 择 操作 类 型 和 保存 路 径 ， 如 图 5.7 所 示 。 在 “存储 的 用 户 名 
和 密码 ”对 话 框 中 ， 选 择 “ 备 份 存储 的 用 户 名 和 密码 ” 单 选 按钮 。 
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ORR OO a i 


A 在 什么 人 于 闪存 人 的 可 录 基 和 

Wa eres. 
A MN: ER 
a 


图 5.7 选择 操作 类 型 和 存储 备份 的 路 径 


02 根据 提示 信息 按 下 “CTRL+ALT+DELETE” 组 合 键 ， 在 “使 用 密码 保护 备份 文件 ”对 话 框 中 ， 输 入 希 
望 设 置 的 密码 。 单 击 “ 下 一 步 ”按钮 ， 即 可 完成 系统 用 户 帐 户 信息 的 备份 ， 如 图 5.8 所 示 。 


图 \ RPSNED 和 存储 的 用 户 名 和 密码 4| 


站 让 交 用 户 名 和 过 吕 


备份 文件 出 份 \ 用 户 名 和 定 科 冰 份 成 几 
tb, 请 将 基 移 |5 片 存 站 在 安生 位 


图 5.8 备份 用 户 名 和 密码 向 导 


文件 


2. 对 系统 账户 进行 还 原 


如 果 Windows Server 2008 系统 中 的 用 户 账号 信息 丢失 、 损 坏 划 
过 还 原 将 受 损 的 系统 账号 恢复 到 原先 的 正常 状态 。 


01 单 击 “开始” 按钮 ， 在 “开始 搜索 ”文本 框 中 ， 输 入 “credwiz” 命 令 并 回 车 ， 启 动 “ 存 储 的 用 户 名 和 
密码 ”向 导 ， 选 中 “还 原 存储 的 用 户 名 和 密码 ” 单 选 按钮 ， 单 击 “ 下 一 步 ”按钮 ， 选 择 保存 备份 文件 的 
路 径 ， 如 图 5.9 所 示 。 
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ETT | 
3 ™ PRPS 
的 用 户 g 和 有 


向 个 或 不 存续 的 阴户 名 和 宇 
和 从 本 的 油 疡 入 有 售 和 亲 从 文件 保存 在 什么 位 天? 
:hb 请 在 输入 位 置 之 前 插入 该 柑 


及 远大 让 寺 间 用 户 名 和 于 妈 


Tm 取消 


5.9 还 原 用 户 名 和 密码 


2 根据 提示 信息 ， 按 下 “CTRL+ALT+DELETE” 组 合 键 ， 输 入 创建 备份 文件 时 设置 的 密码 即 可 ， 如 
5.10 所 示 。 


OO © wannapgpsn 
EE ke 
A SE 下 


图 5.10 成 功 还 原 用 户 名 和 密码 


5.2 ”用户 帐 户 管理 


除 管理 员 帐 户 之 外 ， 还 应 为 其 他 用 户 创建 一 些 普通 帐户 ， 如 来 宾 帐 户 、 个 人 用 户 帐户 等 。 
为 了 确保 系统 或 网 络 的 安全 , 普通 用 户 帐 户 的 安全 设置 也 是 不 可 小 视 的 , 如 果 操作 不 当 很 容易 
导致 安全 漏洞 。 例如 , 管理 员 必 须根 据 用 户 的 实际 身份 和 管理 职能 , 及 时 调整 其 对 应 帐户 身份 。 
如 果 用 户 暂 时 离开 网 络 ， 则 可 以 先 停 用 其 帐户 ， 以 免 被 滥用 。 
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5.2.1 启用、 禁用、 删除 用 户 帐户 


帐户 和 用 户 是 相互 对 应 的 。 如果 新 用 户 加 入 , 需要 创建 新 的 帐户 ; 如 果 有 些 帐 户 临时 不 用 ， 
则 可 以 暂时 将 其 禁用 ， 以 免 被 其 他 用 户 滥用; 如 果 用 户 完全 脱离 者 计算 机 或 域 , 则 可 以 删除 对 
应 帐户 。 每 个 用 户 帐 户 都 可 能 对 系统 安全 造成 威胁 ， 通 常情 况 下 只 保留 够 用 的 帐户 即 可 。 


1. 禁用 、 启 用 和 删除 本 地 用 户 帐户 


以 具有 管理 员 权限 的 帐户 登录 系统 ， 打 开 “ 计 算 机 管理 ”的 “用 户 ” 窗 口 ， 双 击 需 要 禁 忆 
的 用 户 帐户 ， 打 开 用 户 帐户 的 属性 对 话 框 ， 在 “常规 ”选项 卡 中 ,选中 “帐户 已 禁用 ” 复 选 框 ， 
如 图 5.11 所 示 。 单 击 “ 确 定 ” 按 钮 即 可 禁用 该 帐户 。 取 消 勾 选 “帐户 已 禁用 ” 复 选 杠 ， 即 可 
重新 启用 已 禁用 的 帐户 。 


em 
图 5.11 禁用 本 地 用 户 帐户 
”提示 除非 有 特殊 应 用 ，Guest 帐户 应 当 被 禁用 。 事 实 上 ， 许 多 网 络 攻击 就 是 借助 Guest 
\ 肥 用 户 来 实现 。 即 使 启用 Guest 帐户 ， 也 应 当 为 其 指定 景 低 的 访问 权限 。 
”在 “计算 机 管理 ”窗口 中 ， 右 击 需 要 删除 的 帐户 ， 选 择 “删除 ”选项 ， 显 示 如 图 5.12 所 
示 “ 本 地 用 户 和 组 ”对 话 框 ， 单 击 “ 是 ”按钮 ， 即 可 删除 所 选 帐户 。 
Se 
A 二 


确定 要 嘛 除 用 户 hstjl 中? 


[EL WA 


图 5.12 “本 地 用 户 和 组 ”对 话 杠 
2. 禁用 、 启 用 和 删除 域 用 户 帐户 
以 具有 管理 员 权限 的 帐户 登录 控制 器 ， 打开 “Active Directory 用 户 和 计算 机 ”窗口 , 右 击 
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想 要 禁用 的 用 户 帐 户 ， 选 择 快捷 菜单 中 的 “禁用 帐户 ”选项 即 可 将 其 禁用 ， 如 图 5.13 所 示 。 

用 户 帐 户 被 禁用 以 后 ， 便 不 能 再 登录 。 如 果 想 启用 用 户 帐户 ， 则 可 以 按照 相同 的 方法 ， 选 
择 快 捷 菜 单 中 的 “启用 帐户 ”选项 即 可 。 如 果 帐 户 不 再 使 用 ， 或 需要 重 设 所 有 权限 ， 可 将 其 删 
除 ， 右 击 用 户 帐户 名 ， 并 选择 快捷 菜单 中 的 “删除 ” 选项 即 可 删除 该 帐户 。 


图 5.13 禁用 域 用 户 帐户 


5.2.2 ”限制 用 户 可 以 登录 的 时 间 


默认 情况 下 , 域 用 户 帐户 可 以 随时 登录 到 域 控制 器 , 但 是 为 了 确保 服务 器 系统 以 及 网 络 的 
安全 , 应 对 用 户 帐户 的 登录 时 间 进 行 限制 。 该 限制 仅 适用 于 域 用 户 帐户 , 本 地 用 户 帐户 登录 系 
统 时 间 无 法 限制 。 


01 在 “Active Directory 用 户 和 计算 机 ”窗口 中 ， 双 击 要 设置 的 用 户 ， 打 开 用 户 属性 对 话 框 。 单 击 “ 登 录 时 
间 ” 按 钮 ， 显 示 如 图 5.14 所 示 “liuxiaohui 的 登录 时 间 ” 对 话 框 ， 默 认 人 允许 在 任何 时 间 登录 。 

0 .2 在 登录 时 间 分 布 表 中 ， 框 选 拒绝 登录 的 时 间 范围 ， 选 择 “拒绝 登录 ” 单 选 按钮 ， 如 图 5.15 所 示 。 例 如 ， 
本 例 中 设置 的 是 liuxiaohui 帐户 ， 在 每 周 星 期 一 到 星期 五 的 9 点 至 17 点 范 国内 登录 域 控制 器 。 


撕 入 i | 人 一 一 
党 规 | 地 性 。 帐户 | 甸 村 文 析 | 电话 | 单位 | 吾 训 于 


用 户 党 录 名 0W): 
ey Ta 
用 六 水 扣 atays anc0 以 0 
En 
EEC 二 EE 的 3H . | 
PE et =— | Emel 
Es sn i 
FRA Ge 
FEE | Ee | 是 cam 
人 = 
人 = [ | 8 
A E 
i ; 时 
Si 3 a M om Sm cm 二 ME 
T 星期 六 
| | | | 星期 = 从 1a:00 5 到 19:0 点 
图 5.14 设置 liuxiaohui 的 登录 时 间 图 5.15 设置 登录 时 间 


03 单 击 “确定 ”按钮 保存 设置 。 
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5.2.3 ”限制 用 户 可 以 登录 的 工作 站 


限制 用 户 登 录 到 的 工作 站 ， 是 指 限制 用 户 帐户 只 能 从 网 络 中 指定 的 计算 机 上 登录 ， 访 问 
Active Directory 中 的 资源 。 默认 情况 下 , 域 用 户 帐户 可 以 从 网 络 中 任意 计算 机 上 登录 , 通过 将 
用 户 帐户 和 登录 计算 机 捆绑 在 一 起 ， 可 以 实施 更 加 有 效 的 安全 管理 措施 。 


四 1 仍然 以 fiuxiaohui 帐户 为 例 ， 在 “liuxiaohui 属性 ”对 话 框 的 “ 帐 E 辣 
记 * 选项 卡 中 ， 单 击 “登录 到 » 按钮 ， 显 § 示 如 到 5.16 所 示 “登录 hae WetBI0S 或 域名 系统 mNS) 
工作 站 ”对 话 框 。 黑 认 选 中 “所 有 计算 机 ” 单 选 按钮 ， 即 允许 用 【SR 
户 登录 网 络 中 的 所 有 计算 机 。 0 

0 2 选择 “下 列 计算 机 ” 单 选 按钮 ， 在 “计算 机 名 ”文本 框 中 输入 多 TI 到- 


许 登录 的 工作 站 的 NetBIOS 名 称 ， 单 击 “ 添 加 ”按钮 添加 到 列表 曾 
中 ， 可 以 添加 多 个 允许 登录 的 工作 站 名 称 。 
03 单 击 “确定 ”按钮 保存 设置 。 


5.2.4 ”恢复 误 删除 的 域 用 户 


确定 了 消 


图 5.16 “登录 工作 站 ”对 话 杠 


在 Windows Server 2008 的 “Active Directory 用 户 和 计算 机 ”管理 控制 台中 ， 没 有 提供 对 
误 删 除 的 用 户 恢复 功能 。 管 理 员 可 以 借助 “Adrestore.exe” 工 具 ， 在 命令 行 模式 下 恢复 删除 的 
用 户 ， 该 工具 支持 Windows Server 2000/2003/2008 系统 中 的 活动 目录 。 本 例 以 恢复 被 删除 的 
“Testuser” 用 户 为 例 ， 介 绍 “Adrestore.exe” 工 具 恢 复 用 户 的 方法 。 


0 1 将 该 工具 复制 到 运行 AD DS 域 服务 的 计算 机 中 ， 选 择 “ 开 始 ”一 “所 有 程序 ”一 “附件 ”一 “命令 提 
示 符 ”选项 ， 显 示 如 图 所 示 的 “命令 提示 符 ” 窗 口 ， 并 切换 到 存储 “Adrestore.exe” 工 具 的 目录 下 ， 输 
入 如 下 命令 : 
Adrestore /r 


可 车 ， 命 令 成 功 执行 ， 显 示 如 图 5.17 所 示 窗口 ， 该 命令 枚 举 活动 目录 中 删除 的 对 象 ， 并 显示 用 户 完整 
鸭 FQDN 信息 。 


5.17 ” 枚 举 活动 目录 中 被 删除 的 对 象 
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0 2 输入 “Y”， 恢 复 删除 的 用 户 信息 ， 提 示 用 户 被 成 功 恢复 ， 如 图 5.18 所 示 。 同 样 的 方法 可 以 恢复 其 他 被 
删除 的 Active Directory 对 象 。 

03 打开 “Active Directory 用 户 和 计算 机 ”窗口 ， 选 择 “Active Directory 用 户 和 计算 机 ”一 “book.com” 
一 “Users” 选 项 ， 显 示 “Active Directory 用 户 和 计算 机 ”窗口 ，“TestUser” 被 成 功 恢复 ， 恢 复 的 用 
户 状态 为 “禁用 ” 如 图 5.19 所 示 。 


图 5.18 恢复 误 删 除 的 用 户 图 5.19 被 删除 用 户 已 被 恢复 


5.3 管理 密码 


设置 一 个 高 强度 的 安全 密码 固然 重要 ， 但 是 密码 的 管理 也 是 非常 重要 的 。 在 Windows 
Server 2008 系统 中 ， 管 理 员 可 以 通过 设置 密码 策略 ， 强 制 网 络 用 户 帐户 的 密码 符合 某 些 条 件 ， 
或 者 强制 定期 更 改 其 密码 。 另 外 ,无 论 是 独立 工作 站 、 域 控制 器 还 是 客户 端 ， 都 应 注意 定期 更 
改 登录 密码 ， 并 妥善 保存 用 户 帐户 密码 。 


-59x 
| 


5.3.1 设置 密码 策略 et 向 ET 


默认 情况 下 ，Windows Server 2008 系统 已 
经 启用 了 用 户 帐户 密码 策略 ， 如 图 5.20 所 示 。 
这 些 策略 的 主要 作用 就 是 指导 用 户 设 置 符 合 要 
求 的 强 安全 密码 , 管理 员 可 以 根据 需要 调整 密码 
策略 的 值 , 例如 系统 默认 策略 要 求 密码 最 常 使 用 
期 限 为 42 天 ， 而 为 了 确保 帐户 密码 安全 ， 可 以 
设置 为 30 天 。 SD 


强制 密码 历史 
用 可 还 原 的 加 密 来 储存 空 码 
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提示 


也 有 关 帐 户 密码 策略 的 详细 设置 ， 请 参考 本 书 “ 第 6 章 组 策略 安全 ”中 的 介绍 。 


5.3.2 重 设 用 户 密码 


密码 是 用 户 登录 系统 和 网 络 的 唯一 凭证 , 如 果 丢 失 密 码 也 就 无 法 登录 。 为 了 确保 用 户 可 以 
继续 使 用 原 帐户 , 管理 员 必须 为 其 重新 设置 密码 。 另外， 即使 没有 丢失 密码 ， 也 应 定期 更 换 不 
同 的 密码 ， 以 免 因 密码 使 用 时 间 过 长 而 被 别人 猎取 。 

1. 设置 本 地 用 户 密码 


默认 情况 下 ， 本 地 计算 机 的 系统 管理 员 帐 户 ， 可 以 随时 通过 “计算 机 管理 ”工具 更 改 所 有 
用 户 帐户 的 登录 密码 ， 而 其 他 用 户 则 无 此 权限 ， 只 能 通过 更 改 密码 向 导 实 现 。 


(1 ) 管理 员 帐 户 重 设 普通 帐户 密码 


1 打开 “计算 机 管理 ”窗口 ， 展 开 “ 本 地 用 户 和 组 ”一 “用 户 ” 右 击 需要 更 改 密码 的 用 户 帐户 ， 选 择 快 


捷 菜 单 中 的 “设置 密码 ”选项 ， 显 示 “ 为 hstjl 设置 密码 ”对 话 框 。 单 击 “ 继 续 ” 按 钮 ， 显 示 如 图 5.21 
所 示 对 话 框 ， 在 “新 密码 ”和 “确认 密码 ”编辑 框 中 输入 新 密码 。 
02 单 击 “确定 ”按钮 ， 显 示 如 图 5.22 所 示 “ 本 地 用 户 和 组 ”提示 框 。 


ee 


Ee Pee ee ES 
1 各“ 了 有 ”， 富村， 并 用 于 扣 。 @ ner 
uw | 有 
图 5.21 为 hsl 设置 密码 re 


提示 “由 于 用 户 加 密 文件 和 个 人 安全 证 书 中 都 包含 了 原来 的 密码 信息 ,更 改 后 将 无 法 访问 
\ 泣 这些 加 密 文件 ,失去 个 人 安全 证 书 的 访问 权 。 除 非 用 户 帐户 密码 丢失 ， 建 议 管理 员 
慎重 使 用 该 方式 为 成 员 用 户 重 设 密码 。 


(2 ) 普通 帐户 重 设 自己 密码 


1] 登录 想 要 更 改 密码 的 用 户 帐户 ， 按 下 “Ctrl+Alt+Del” 组 合 键 打开 如 图 5.23 所 示 窗 口 ， 类 似 于 Windows 
Server 2003 系统 的 “Windows 安全 ”窗口 。 

0 2 单 击 “更改 密 码 ” 按钮， 打开 如 图 5.24 所 示 对 话 框 ， 只 有 正确 输入 旧 密 码 后 ,新 密码 才 可 以 生效 。 在 “ 旧 
密码 ”文本 框 中 输入 用 户 帐户 的 当前 密码 ， 在 “新 密码 ”和 “确认 密码 ”文本 框 中 输入 新 的 密码 即 可 。 
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图 5.24 更 改 密码 


图 5.23 Windows 安全 


03 单 击 “ 确 定 ”按钮 ， 修 改 成 功 ， 显 示 如 图 5.25 所 示 


对 话 框 。 
04 单 击 “ 确 定 ”按钮 ， 返 回 Windows 资源 管理 器 。 


WW Windows Server'2008 


Enterprise 


(3 ) 创建 密码 重 置 盘 国生 


“创建 密码 重 置 盘 ”是 确保 帐户 密码 安全 的 重要 手段 , 创建 过 程 中 会 将 用 户 帐户 和 密码 信 
息 ， 以 加 密 的 方式 存储 到 指定 的 软盘 或 U 盘 上 。 忘 记 登 录 密 码 时 ， 使 用 这 些 信息 可 以 重新 创 
建 一 个 新 的 安全 密码 ， 实 现 登 录 系统 的 目的 。 


01 在 “更 改 密码 ”窗口 中 ， 单 击 “ 创 和 
按钮 ， 选 择 用 于 保存 密码 的 软盘 、 可 移动 硬盘 并 输入 当前 使 用 的 用 户 帐户 密码 ， 如 图 5.26 所 示 。 


i| 


EE y| 
所有 和 和 
向 有 有 Pt 用 户 岂 人 友信 息 信和 机 0 吕 中 的 后 上 ~ 此 褒 有 和 要 名 痢 用 户 和 证 条 下 
WE mein 
PNP) 
让 一 一 一 一 
cy) TE 诈 9 2 TE Wk 


图 5.26 创建 密码 重 置 盘 
建 ， 稍 等 即 可 完成 。 需 要 注意 的 是 ， 任 何人 都 可 以 通过 密码 重 置 盘 ， 重 新 


0 2 单 击 “ 下 一 步 ” 按钮， 开始 创 
设置 当前 用 户 帐户 的 密码 ， 因 此 应 做 好 标记 ， 并 妥善 保管 。 


如 果 忘记 此 用 户 帐户 的 密码 ， 可 以 在 登录 界面 中 选择 用 户 帐 户 后 ， 单 击 “ 重 设 密码 ”链接 
启动 “ 重 置 密码 向 导 ”， 根 据 提示 信息 插入 密码 重 置 盘 ， 当 运行 至 如 图 5.27 所 示 “ 重 置 用 户 幅 
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户 密码 ”步骤 时 ， 重 新 设置 新 的 密码 即 可 ， 此 时 还 可 以 设置 一 个 密码 提示 信息 。 


重 轩 用 户 帐户 宏 码 
您 将 可 以 用 新 密码 登录 到 此 用 户头 户 。 


eid 此 芋 码 交换 | 日 的 至 码 ， 此 帐户 8 所 


< 上 -$0 [TSm | 消 
图 5.27 “ 重 置 用 户 帐户 密码 ”对 话 框 
2. 设置 域 用 户 帐户 密码 


在 域 环境 中 重 设 帐户 密码 比较 简单 。 使 用 具有 相关 权限 的 管理 员 帐 户 登录 到 域 控制 器 , 打 
“Active Directory 用 户 和 计算 机 ”窗口 。 在 “Users” 容 器 中 ， 右 击 想 要 重 置 密码 的 用 户 帐 
户 ， 选 择 快捷 菜单 中 的 “ 重 置 密码 ”选项 ， 显 示 如 图 5.28 所 示 “ 重 置 密码 ”对 话 框 ， 在 “新 
密码 ”和 “确认 密码 ”文本 框 中 输入 新 密码 ， 单 击 “确定 ”按钮 即 可 。 使 用 这 种 方法 ， 也 可 以 
重 设 管理 员 帐 户 的 密码 。 


FE 2 


图 5.28 “ 重 置 密码 ”对 话 框 
提示 “如 果 当 前 帐户 已 被 锁定 ， 则 可 以 选中 “解锁 用 户 的 帐户 ” 复 选 框 ， 使 密码 更 改 立 即 
\ 刻 生效 。 系 统 默 认 配 置 的 安全 策略 ,可 能 会 限制 用 户 更 改 密码 的 次 数 或 登录 次 数 限制 ， 
如 果 超 出 策略 限制 ， 立 即 锁定 帐户 ， 并 等 待 一 定时 间 后 自动 解锁 。 此 时 ， 对 应 用 户 
可 以 告知 管理 员 ,由 管理 员 登 录 到 域 控制 器 ,使 用 该 方式 为 其 重 设 密码 并 解锁 帐户 。 


5.4 用 户 权限 安全 


使 用 用 户 帐户 可 以 登录 到 域 或 其 他 计算 机 中 ， 从 而 获得 对 计算 机 资源 的 网 络 资源 的 访问 
权 。 经常 访问 网 络 的 用 户 都 应 拥有 网 络 唯一 的 用 户 帐户 ,， 并 且 根 据 用 户 的 职责 不 同 , 分 配 不 同 
的 用 户 权 限 ， 同 时 ， 设 置 严格 的 用 户 策略 ， 保 护 用 户 帐户 的 安全 。 
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5.4.1 用 户 特权 


用 户 执行 特定 任务 的 权利 , 通常 会 影响 整个 计算 机 系统 ,而 不 只 是 某 个 目录 对 象 。 特 权 作 
为 计算 机 安全 设置 的 一 部 分 ,由 管理 员 指派 给 单个 用 户 或 用 户 组 。 要 减轻 用 户 帐 户 的 管理 任务 ， 
应 该 对 组 帐户 指定 特权 ， 而 不 是 对 单个 用 户 帐户 。 


1. 可 授予 用 户 的 特权 


对 组 帐户 指定 特权 时 ， 当 用 户 成 为 该 组 成 员 时 将 自动 指派 那些 特权 。 这 种 管理 特权 的 方法 比 
为 每 个 用 户 帐户 指定 单独 的 权限 要 容易 得 多 。 如 表 5.1 所 示 是 可 以 授予 用 户 的 特权 以 及 相关 说 明 。 


表 5.1 可 授予 用 户 的 特权 


特权 说 明 默认 设置 
作为 操作 | 允许 像 验证 用 户 一 样 验证 一 个 进程 , 并 因此 获得 与 用 户 访问 资源 一 样 的 访问 | 未 授予 任何 用 
系统 的 一 | 权限 。 只 有 低级 身份 验证 服务 才 要 求 这 项 特权 。 注 意 ， 潜 在 的 访问 可 能 不 受 | 户 帐 户 
部 分 默认 情况 下 用 户 关联 的 限制 , 调用 进程 可 能 要 求 将 其 他 任何 访问 权限 添加 到 
访问 令 牌 中 。 调 用 进程 也 可 能 创建 不 提供 主要 标识 (用 于 审核 日 志 中 跟踪 事 
件 ) 的 访问 令 牌 
要 求 这 项 特权 的 进程 应 该 使 用 已 经 包括 此 特权 的 本 地 系统 帐户 , 而 不 应 该 使 
用 特别 指定 此 特权 的 个 别 用 户 帐户 
将 工作 站 | 允许 用 户 将 计算 机 添加 到 特定 的 域 。 要 使 该 特权 生效 ， 必 须 将 其 作为 该 域 中 | 未 授予 任何 用 
添加 到 域 “| “默认 域 控制 器 策略 ”的 组 成 部 分 而 分 配给 用 户 。 具 有 该 特权 的 用 户 可 以 向 | 户 帐户 
域 中 添加 最 多 十 个 工作 站 
也 可 以 允许 用 户 将 计算 机 加 入 域 中 ， 其 方式 是 在 Active Directory 中 的 部 门 
或 计算 机 容器 里 授予 这 些 用 户 “创建 计算 机 对 象 ”的 权限 。 具 有 “创建 计算 
机 对 象 ”权限 的 用 户 可 以 向 域 中 添加 任意 数量 的 计算 机 ， 而 不 管 其 是 否 被 分 
配 了 “将 工作 站 添加 到 域 ”的 特权 
调整 处 理 的 | 确定 哪个 帐户 可 以 使 用 具有 “ 写 入 属性 ”的 进程 访问 另 一 个 进程 以 此 增加 分 | 管理 员 
内 存 配额 | 配给 另 一 进程 的 处 理 器 配额 
该 用 户 权 限 在 默认 域 控制 器 “组 策略 ” 对象 GPO) 和 工作 站 及 服务 器 的 本 
地 安全 策略 中 定义 
备份 文件 | 允许 用 户 绕 过 文件 和 目录 权限 来 备份 系统 。 仅 当 应 用 程序 试图 通过 NTFS 备 | 管理 员 和 备份 
和 目录 份 应 用 程序 编程 接口 (API) 访问 时 ， 才 选用 该 特权 。 和 否则， 应 用 正常 的 文 | 操作 员 
件 和 目录 权限 
忽略 遍历 | 浏览 任何 NTFS 文件 系统 或 注册 表 中 的 对 象 路 径 时 ,允许 用 户 遍 历 用 户 无 权 | 管理 员 、 备 份 
检查 访问 的 目录 。 此 特权 不 允许 用 户 列 出 目录 的 内 容 ， 只 能 遍历 目录 操作 员 、 高 级 
在 域 控制 器 上 ， 将 该 特权 分 配给 管理 员 、 经 过 验证 的 用 户 和 每 个 人 用 户 、 用 户 以 
及 成 员 服 务 器 
和 工作 站 上 的 
每 个 人 
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( 续 表 ) 
特权 说 明 默认 设置 
更 改 系 统 | 允许 用 户 设置 计算 机 内 部 时 钟 的 时 间 管理 员 、 高 级 用 
时 间 在 域 控制 器 上 ， 将 该 特权 分 配给 管理 员 、 服 务 器 操作 员 、Local Service 和 | 户 ,Local Service 
Network Service 以 及 成 员 服 务 器 
和 工作 站 上 的 
Network ervice 
创建 令 牌 | 当 进程 使 用 NtCreateToken0 或 其 他 令 牌 创建 API 时 ， 人 允许 进程 创建 可 用 于 | 未 授予 任何 用 
对 象 访问 所 有 本 地 资源 的 令 牌 户 帐户 
建议 需要 此 特权 的 进程 使 用 已 经 包括 此 特权 的 本 地 系统 帐户 , 而 不 使 用 特别 
指定 此 特权 的 个 别 用 户 帐户 
创建 页 面 | 允许 用 户 创建 和 更 改 页 面 文 件 的 大 小 。 该 操作 是 通过 在 “系统 属性 "的 “高 级 ”| 管理 员 
交 件 选项 卡 上 的 “性 能 选项 "下 ， 指 定 某 一 特定 驱动 器 的 页 面 文 件 大 小 来 完成 的 


创建 永久 | 允许 进程 在 Windows XP Professional 对 象 管理 器 中 创建 目录 对 象 .该 特权 对 | 未 授予 任何 用 
共享 的 对 | 于 可 扩展 对 象 名 称 空间 的 内 核 模式 组 件 非常 有 用 。 以 内 核 模式 运行 的 组 件 本 | 户 帐户 


象 身 就 具有 该 特权 ， 因 此 无 需 对 其 分 配 该 特权 
调试 程序 “| 允许 用 户 向 任意 进程 附加 调试 程序 。 此 特权 对 敏感 和 关键 的 操作 系统 组 件 提 | 管理 员 
供 强大 的 访问 


使 计算 机 | 允许 用 户 更 改 Active Directory 中 用 户 或 计算 机 对 象 上 的 “可 委派 其 他 帐户 ”| 在 域 控制 器 
和 用 户 帐 | 设置 授予 此 特权 的 用 户 或 计算 机 也 必须 具有 对 对 象 上 的 帐户 控制 标志 进行 | 上 ， 该 特权 默 
户 成 为 受 | 写 访问 的 权限 。 验 证 委派 是 由 多 层 客 户 机 /服务 器 应 用 程序 所 使 用 的 一 项 功 | 认 情 况 下 授予 
信任 的 以 | 能 。 人 允许 前 端 服务 将 正在 接收 验证 的 客户 凭证 用 于 后 端 服务 。 要 做 到 这 一 点 ，| 管理 员 

便 委派 其 | 客户 机 和 服务 器 必须 同时 以 可 委派 其 他 帐户 方式 运行 。 误 用 此 特权 或 误 用 可 

他 帐户 委派 其 他 帐户 设置 会 使 网 络 容易 受到 系统 上 复杂 进攻 的 破坏 , 如 使 用 特洛伊 

木马 程序 模仿 传 入 的 客户 并 使 用 它们 的 凭据 访问 网 络 资源 

该 特权 不 授予 成 员 服 务 器 或 工作 站 上 的 任何 人 ， 因 为 这 种 授权 无 任何 意义 


从 远程 系 | 允许 用 户 从 网 络 上 的 远程 位 置 关闭 计算 机 。 参 阅 关闭 系统 特权 成 员 服 务 器 和 
统 强 制 地 | 在 域 控制 器 上 ， 该 特权 分 配给 管理 员 和 服务 器 操作 员 工作 站 上 的 管 
关机 理 员 

生成 安全 | 允许 进程 在 安全 日 志 中 创建 记录 。 安 全 日 志 用 于 跟踪 未 经 授权 的 系统 访问 ，| Local Service 和 
审核 参阅 特权 “管理 审核 和 安全 日 志 ” Network Service 


增加 调度 | 允许 具有 “ 写 ” 属 性 的 进程 访问 其 他 进程 以 便 增加 其 他 进程 的 执行 优先 级 ，| 管理 员 
优先 级 具有 该 特权 的 用 户 可 以 更 改 “ 任 务 管理 器 ”中 某 个 过 程 的 调度 优先 级 


加 载 和 外 | 允许 用 户 安装 和 御 载 即 插 即 用 的 设备 驱动 程序 。 该 特权 对 安装 非 即 插 即 用 设 | 管理 员 
载 设备 驱 | 备 的 驱动 程序 没有 影响 。 只 有 系统 管理 员 才 可 以 安装 非 即 插 即 用 设备 

动 程序 建议 不 要 将 此 特权 授予 任何 其 他 用 户 。 设 备 驱动 程序 以 受信 任 (或 高 级 特权 ) 

程序 运行 。 具 有 加 载 和 印 载 设 备 驱 动 程序 特权 的 用 户 ， 可 能 会 由 于 将 恶意 代 

码 误 当 作 设备 驱 动 程序 安装 而 无 意 误 用 该 特权 。 因 此 建议 管理 员 要 提高 敬 

惕 ， 且 只 安装 带 有 经 验证 的 数字 签名 证 书 的 驱动 程序 
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( 续 表 ) 
特权 说 明 默认 设置 
锁定 内存 | 允许 进程 将 数据 保存 在 物理 内 存 中 ,以 防 系统 将 分 页 数据 , 写 到 磁盘 上 的 虚 | 未 分 配给 任 
中 的 页 面 “| 拟 内 存 中 。 分 配 该 特权 可 能 致使 系统 性 能 严重 降低 何人 
某 些 系统 进程 本 身 就 具有 该 特权 
管理 审核 和 | 允许 用 户 指定 文件 .Active Directory 对 象 和 注册 表 项 之 类 的 单个 资源 的 对 象 | 管理 员 
安全 日 志 “| 访问 审核 选项 。 只 有 当 启 用 了 “审核 策略 ”中 的 对 象 访问 审核 后 ， 才 可 以 真 
正 执行 对 象 访问 审核 操作 。 具 有 此 特权 的 用 户 还 可 以 从 事件 查看 器 中 , 查看 
并 清除 安全 日 志 
具有 此 特权 的 用 户 还 可 以 从 事件 查看 器 中 查看 并 清除 安全 日 志 
修改 固件 | 允许 通过 API 的 某 个 进程 或 通过 “系统 属性 ”的 某 个 用 户 来 修改 系统 环境 | 管理 员 
环境 值 变量 
图 示 单 个 | 允许 用 户 运 行 Windows XP Professional 性 能 监视 工具 来 监视 非 系统 进程 的 | 成 员 服 务 器 
进程 性 能 和 工作 站 上 
在 域 控制 器 上 ， 仅 将 该 特权 分 配给 管理 员 的 管理 员 和 
高 级 用 户 
配置 文件 | 允许 用 户 运行 性 能 监视 工具 监视 系统 进程 的 性 能 管理 员 
系统 性 能 
从 插 接 站 删 | 允许 便携 式 计算 机 用 户 通过 单 击 “开始 ”一 “弹出 PC” 来 脱 开 计算 机 管理 员 、 高 级 
除 计算 机 用 户 和 用 户 
替换 进程 | 确定 哪个 用 户 帐户 可 以 初始 化 一 个 进程 , 以 取代 与 已 启动 的 子 进 程 相关 的 默 | 本 地 服务 和 网 
级 令 牌 认 令 牌 络 服务 
该 用 户 权限 在 “默认 域 控制 器 组 策略 "对 象 和 工作 站 及 服务 器 的 本 地 安全 策 
略 中 进行 定义 
还 原文 件 | 还 原 备份 的 文件 和 目录 时 , 允许 用 户 绕 过 文件 和 目录 权限 , 并 将 任何 有 效 的 | 管理 员 和 备份 
和 目录 安全 主体 设 为 对 象 的 所 有 者 。 参 阅 “ 备 份 文件 和 目录 ”特权 操作 员 
关闭 系统 | 允许 用 户 关闭 本 地 计算 机 管理 员 、 备 份 
在 成 员 服务 器 上 ， 该 权利 授予 管理 员 、 高 级 用 户 和 备份 操作 员 操作 员 、 高 级 
在 域 控制 器 上 ， 该 权利 授予 管理 员 、 帐 户 操作 员 、 备 份 操作 员 、 打 印 操作 员 | 用 户 和 工作 站 
和 服务 器 操作 员 用 户 
同步 目录 | 允许 进程 提供 目录 同步 服务 。 该 特权 仅 对 域 控制 器 有 效 未 授予 任何 用 
服务 数据 户 帐户 
获得 文件 或 | 允许 用 户 获得 系统 中 任何 可 得 到 的 对 象 的 所 有 权 ， 包 括 Active Directory 对 | 管理 员 
其 他 对 象 的 | 象 、NTFS 文件 和 文件 夹 、 打 印 机 、 注 册 表 项 、 进 程 和 线程 
所 有 权 


某 些 特权 可 以 覆盖 在 对 象 上 设置 的 原 有 权限 。 例 如 , 用 户 作为 备份 操作 员 组 的 成 员 登 录 到 
域 时 ， 具 有 对 所 有 域 服务 器 执行 备份 操作 的 权利 。 但 是 ， 该 操作 同时 还 要 求 用 户 能 够 读 取 这 些 
服务 器 上 的 所 有 文件 ， 甚 至 是 文件 所 有 者 已 经 明确 设置 对 所 有 用 户 〈 包 括 备份 操作 员 组 成 员 ) 
都 拒绝 访问 的 文件 。 在 这 种 情况 下 ， 执 行 备份 的 用 户 权利 优先 于 所 有 的 文件 和 目录 权限 。 
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2. 赋予 用 户 特权 


这 里 以 “将 工作 站 添加 到 域 ” 权 限 为 例 ， 介 绍 如 何 设置 用 户 特 权 。 通 过 给 用 户 赋予 “将 工 
作 站 添加 到 域 ”的 权限 , 可 以 让 用 户 向 一 个 域 中 添加 最 多 10 台 计 算 机 。 默 认 情 况 下 ，Windows 
Server 2008 的 “ 域 中 添加 工作 站 ”的 权限 赋予 “Authenticated Users” 用 户 组 ， 即 任何 授权 
户 可 以 添加 10 台 计 算 机 到 域 森林 中 ， 是 非常 危险 的 ， 仅 将 该 特权 赋予 指定 帐户 即 可 。 


帐户 登录 域 控制 器 ， 依 次 选择 “开始 ” 2 右 击 “Default Domain Controllers Policy” 并 
一 “管理 工具 ”一 “组 策略 管理 ”选项 ， 打 开 “ 组 ”选择 快捷 菜单 中 的 “编辑 ”选项 ， 打 开 “ 组 策略 管 
策略 管理 ”窗口 。 依 次 展开 “ 林 : coolpen.net” 一 。 理 编 辑 器 ”窗口 。 依 次 展开 “计算 机 配置 ”一 “ 策 
“ 域 ” 一 “coolpen.net” 一 “组 策略 对 象 ” 一 “Default ”了 略 ” 一 “Windows 设置 ”一 “安全 设置 ”一 “本 地 
Domain Controllers Policy (默认 域 控制 器 策略 )}” ”策略 ”一 “用 户 权 限 分 配 ” 选 项 ， 如 图 5.30 所 示 。 
选项 ， 如 图 5.29 所 示 。 
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EL LE Rh 肖 
和 
[ 
图 5.29 “组 策略 管理 ”窗口 图 5.30 “组 策略 管理 编辑 器 ”窗口 


03 双击 “将 工作 站 添加 到 域 ”策略 ， 显 示 “ 将 工作 站 添加 到 域 属性 ”对 话 框 。 默 认 情况 下 ， 列 表 中 只 
“Authenticated Users” 用 户 组 ， 即 所 有 授权 用 户 都 拥有 该 特权 ， 选 择 该 帐户 并 单 击 “ 删 除 ”按钮 ， 即 可 将 

其 删除 。 单 击 “ 添 加 用 户 或 组 ” 按钮， 显示“ 添加 用 户 或 组 ”对 话 框 。 单 击 “ 浏 览 ” 按钮， 显示“ 选择 用 户 、 

计算 机 或 组 ”对 话 框 ， 在 “输入 对 象 名 称 来 选择 ”文本 框 中 ， 输 入 用 户 帐户 名 iuxh。 如 图 5.31 所 示 。 


将 工作 站 法 加 到 域 区 性 x 
安全 末 吕 设 置 | 订 明 | 

六 I fF 

定义 这 些 第 确 设 置 0): 


添加 用 户 或 组 下 革 

月 记名 

[me 
庆 地 括 雪 ): 
[RE EEL xm. 

添加 用 户 或 组 ) #6) 查 措 位 置 中): 
[En 
多 入 对 名和 林寺 区 抒 四 - 
Bi 本 名 称 品 
CD wu. wa | 


图 5.31 将 工作 站 添加 到 域 


129 


Ag 
属 Windows Server 2008 系统 安全 管理 实战 指南 


04 依次 单 击 “确定” 按钮 ， 保 存 设置 即 可 。 当 客户 端 需要 添加 到 域 时， 使 用 “liuxh” 帐 户 ， 并 输入 相应 的 


密码 即 可 完成 用 户 的 添加 。 


5.4.2 用 户 登录 权利 


登录 权利 ， 是 指 分 配给 用 户 ， 并 指定 用 户 以 哪 种 方式 登录 系统 的 用 户 帐户 权利 。 


1. 默认 登录 权利 


默认 的 登录 权利 如 表 5.2 所 示 。 
表 5.2 默认 的 登录 权利 
登录 权利 说 明 默认 设置 
从 网 络 访问 计算 机 允许 用 户 通 过 网 络 连接 到 计算 机 管理 员 、 每 个 人 、 用 户 、 
高 级 用 户 和 备份 操作 员 
允许 通过 终端 服务 登录 人 允许 用 户 通过 远程 桌面 连接 登录 到 本 计算 机 ”| 管理 员 和 远程 桌面 用 户 
作为 批 处 理 作业 登录 允许 用 户 使 用 批 处 理 查询 工具 登录 没有 任何 用 户 帐户 
如 果 安 装 了 Intemet 信息 服务 (IIS) ， 则 系统 
将 该 权利 自动 分 配给 匿名 访问 IS 的 内 置 帐 户 
作为 服务 登录 允许 某 种 安全 原则 以 服务 身份 登录 。 可 以 将 服 | 没有 任何 用 户 帐户 
务 配置 为 在 Local System、Local Service 或 
Network Service 帐户 下 运行 ， 这 些 帐 户 具有 作 
为 服务 登录 的 内 置 权利 。 在 单个 帐户 下 运行 的 
任意 服务 都 必须 授予 该 权利 
本 地 登录 允许 用 户 通过 计算 机 键盘 登录 管理 员 、 高 级 用 户 、 用 户 、 
来 宾 和 备份 操作 员 
作为 服务 登录 允许 某 种 安全 原则 以 服务 身份 登录 。 可 以 将 服 | 没有 任何 用 户 帐户 
务 配置 为 在 Local System、Local Service 或 
Network Service 帐户 下 运行 ， 这 些 帐 户 具 有 作 
为 服务 登录 的 内 置 权 利 。 在 单个 帐户 下 运行 的 
任意 服务 都 必须 授予 该 权利 
拒绝 从 网 络 访问 这 台 计 算 机 | 禁止 用 户 或 组 从 网 络 连接 到 本 计算 机 没有 任何 用 户 帐户 
拒绝 本 地 登录 禁止 用 户 或 组 直接 通过 键盘 登录 没有 任何 用 户 帐户 
拒绝 作为 批 处 理 作业 登录 禁止 用 户 或 组 通过 批 处 理 队列 工具 登录 没有 任何 用 户 帐户 
拒绝 作为 服务 登录 禁止 用 户 或 组 作为 服务 登录 没有 任何 用 户 帐 户 


拒绝 通过 终端 服务 登录 


禁止 用 户 或 组 作为 终端 服务 客户 登录 


没有 任何 用 户 帐户 


2. 赋予 用 户 远程 登录 权利 


远程 登录 权利 允许 用 户 和 组 , 通过 网 络 远程 连接 到 域 控制 器 , 如 借助 微软 控制 台 或 其 他 方 
式 等 ,在 Windows Server 2008 域 控制 器 上 , 系统 默认 将 该 权限 赋予 Administrators、Authenticated 
Users、Everyone、ENTERPRISE DOMAIN CONTROLLERS 和 Pre-Windows 2000 Compatible 
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Access 等 组 。 可 以 使 用 如 下 方法 重新 设置 ， 另 外 ,“ 终 端 服 务 ” 不 受 此 用 户 权利 影响 。 


1 以 管理 员 帐 户 登录 域 控制 器 ， 打 开 “Default Domain Controllers Policy” 策 略 的 “组 策略 管理 编辑 器 ” 
窗口 。 依 次 展开 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ” “安全 设置 ”一 “本 地 策略 ”一 “用 
户 权限 分 配 ”选项 ， 找 到 “从 网 络 访问 此 计算 机 ”策略 ， 如 图 5.32 所 示 。 

0 2 双击 “从 网 络 访问 此 计算 机 ”策略 ， 显 示 如 图 5.33 所 示 的 “从 网 络 访问 此 计算 机 属性 ”对 话 框 。 建 议 
仅 保留 Authenticated Users 组 ， 即 只 赋予 授权 的 用 户 帐户 此 权限 。 


从 局 络 访问 北 计算 机 必 性 yl 


A 


| 


图 5.32 “组 策略 管理 编辑 器 ”窗口 图 5.33 “从 网 络 访问 此 计算 机 属性 ”对 话 杠 


0 3 如 果 还 需要 将 此 权限 赋予 其 他 用 户 帐户 ， 可 以 单 击 “ 添 加 ”按钮 ， 将 其 添加 到 列表 中 ， 与 赋予 拥护 特权 
的 操作 完全 相同 ， 此 处 不 复发 述 。 


注意 在 工作 站 和 独立 服务 器 上 ， 默 认 情 况 下 ， 该 登录 权利 被 赋予 Administrators、 
BackupOperators、PowerUsers、Users 和 Everyone 组 。 


5.4.3 ”将 用 户 权利 指派 到 组 


为 避免 权限 管理 混乱 ， 应 尽量 将 用 户 权利 指派 到 组 ， 然 后 将 需要 获得 此 权限 的 用 户 添加 到 该 组 
中 ,尤其 是 对 于 用 户 较 多 的 域 网 络 ， 更 应 如 此 。 如 果 是 Windows Server 2008 域 网 络 ， 则 可 以 在 域 控 
制 器 的 “组 策略 管理 ”工具 中 ， 编 辑 域 控制 器 的 默认 策略 “Default Domain Controllers Policy” 或 者 
“本 地 安全 策略 ”中 的 相关 设置 。 如 果 是 独立 服务 器 ， 只 能 在 “本 地 安全 策略 ”中 完成 。 


01 在 Windows Server 2008 域 控制 器 上 ， 依 次 选择 “开始 ”一 “管理 工具 ”一 “本 地 安全 策略 ”选项 ， 打 

开 “ 本 地 安全 策略 ”窗口 。 

2 依次 展开 “安全 设置 ”一 “本 地 策略 ”一 “用 户 权限 分 配 ” 选项 ， 在 右 侧 窗口 中 列 出 了 可 以 分 配给 用 户 
的 所 有 用 户 权限 ， 如 图 5.34 所 示 。 

3 双击 要 分 配给 组 的 权限 ， 打 开 属 性 对 话 框 ， 添 加 要 指派 给 的 组 名 即 可 。 例 如 ， 双 击 “ 从 网 络 访问 此 计算 
机 ”策略 ， 显 示 如 图 5.35 所 示 “ 从 网 络 访问 此 计算 机 属性 ”对 话 框 。 从 列表 中 显示 具备 此 权利 的 用 户 
或 者 组 。 
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图 5.34 “用 户 权限 分 配 ” 窗 口 图 5.35 “从 网 络 访问 此 计算 机 属性 ”对 话 框 


当 为 组 分 配 了 某 个 权限 以 后 , 该 组 中 的 用 户 同 时 也 会 拥有 该 权限 , 而 以 后 向 该 组 中 添加 用 
户 时 ， 新 用 户 也 会 拥有 此 权限 。 

通常 情况 下 ， 可 参考 如 下 说 明 将 适当 地 权限 分 配 相应 的 用 户 组 : 

@ 管理 员 组 (Administrators) 可 以 被 授权 的 权利 包括 更 改 系统 事件 、 创 建 页 面 文件 、 装 载 
和 印 载 设 备 驱 动 程序 、 在 本 地 登录 、 管理 审核 安全 日 志 、 配置 单 一 进程 、 配 置 系统 性 能 、 
关闭 系统 、 取 得 文件 或 者 对 象 的 所 有 权 ; 

四 备份 操作 员 组 (Backup Operators) 可 以 被 授权 的 权利 包括 备份 文件 和 目录 、 在 本 地 登 
录 、 还 原文 件 和 目录 (如 果 不 想 让 备份 操作 员 组 具备 还 原文 件 和 目录 的 权利 ， 可 以 重建 
一 个 新 的 用 户 组 ); 

用 户 组 可 以 被 授权 的 权利 为 在 本 地 登录 (默认 的 ); 

将 有 关 “Everyone” 组 的 权利 删除 。 尤 其 是 在 Windows 2000 系统 中 ,默认 情况 下 ,Everyone 
组 被 赋予 “完全 控制 ”权限 ， 毫 无 疑问 ， 对 系统 安全 而 言 ， 这 是 非常 危险 的 ; 

将 有 关 “Power Users” 组 的 权利 删除 。 


不 授予 任何 权利 ,除非 应 用 程序 有 特殊 的 要 求 , 必须 取消 其 他 所 有 默认 状况 下 的 权利 设 定 。 
四 
5.5 用 户 帐 户 控 制 


通常 情况 下 ，Windows 的 很 多 用 户 都 拥有 管理 特权 ， 对 计算 机 安全 管理 存在 很 大 的 隐患 。 
在 Windows Vista 和 Windows Server 2008 中 ，UAC (User Account Control， 用 户 帐 户 控制 ) 
体现 了 最 小 特权 原则 , 即 在 执行 任务 时 使 用 尽 可 能 少 的 特权 。 配置 用 户 帐户 控制 将 涉及 到 除 内 
建 管理 员 帐 户 之 外 的 所 有 交互 用 户 , 所 以 操作 过 程 中 , 既 需 要 对 核心 操作 系统 做 一 定 程度 的 改 
变 ， 还 必须 改变 默认 用 户 桌面 的 工业 标准 ， 以 及 通过 独立 软件 供应 商 〈Independent Software 
Vendor，ISV) 推广 默认 用 户 最 优化 方案 的 应 用 。 
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5.5.1 用 户 帐户 控制 概述 


在 Windows Server 2008 系统 中 ，UAC 主要 涉及 的 是 客户 端 功能 。 对 于 系统 管理 员 而 言 ， 
Windows Server 2008 中 的 UAC, 主要 是 使 用 组 策略 来 管理 Windows Vista 客户 端的 UAC 策略 。 
UAC 适用 于 Windows Vista 的 所 有 版 本 。 

UAC 人 允许 用 户 验 证 系统 行为 ， 从 而 阻止 未 经 认证 的 计算 机 系统 的 变动 。 当 用 户 以 管理 员 
身份 登录 到 Windows Vista 和 Windows Server 2008 时 , 会 得 到 两 个 访问 令 牌 : 一 是 完全 访问 令 
牌 ， 二 是 标准 受 限 访问 令 牌 。 

标准 受 限 访问 令 牌 对 受 限 进程 没有 管理 特权 ， 并 且 禁 用 管理 员 组 SID， 主 要 用 于 启动 
Windows 资源 管理 器 (explorerexe) 和 所 有 的 子 进程 。 所 有 应 用 程序 默认 都 是 以 标准 用 户 令 牌 
运行 的 ， 除 非 管理 员 授予 其 权限 ， 否 则 不 能 以 完全 访问 令 牌 运行 。 注 意 ， 由 于 应 用 程序 将 继承 
父 进程 的 特权 级 别 ， 因 此 ， 如 果 父 进程 以 完全 访问 令 牌 运行 ， 则 子 进程 也 会 继承 其 特权 级 别 ， 
且 不 会 提示 管理 员 。 例如, 以 管理 员 身份 运行 命令 提示 符 , 则 在 命令 提示 符 下 运行 的 所 有 进程 ， 
都 将 具备 管理 员 特权 。 


提示 Explorerexe 默认 是 非 提升 权限 的 ， 所 以 ， 当 右 击 执行 “以 管理 员 身份 运行 ”命令 
\ 甩 时 ,会 重新 启动 一 个 与 原 窗 口 同样 的 窗口 。 管 理 员 可 以 借助 相关 工具 ， 在 每 个 文件 
夹 的 右键 快捷 菜单 中 添加 一 个 “Elevate Explorer Here” 命 令 。 这样， 就 可 以 随时 随 
地 启动 一 个 提升 了 权限 的 Windows Explorer 了 。Explorer.exe 进程 并 不 是 系统 运行 


时 所 必需 的 ， 所 以 ， 可 以 用 任务 管理 器 来 结束 它 ， 并 不 影响 系统 的 正常 工作 。 


5.5.2 ”UAC 提升 用 户 体验 


UAC 对 用 户 体验 的 影响 ， 在 本 地 管理 员 组 (Local 
Administrators group ) 的 成 员 上 体现 得 最 为 显著 。 普通 用 
户 无 需 注 销 也 能 执行 管理 任务 ， 其 提示 窗口 与 管理 员 是 
一 样 的 ， 只 是 需要 输入 密码 而 已 。 


A amr 
icrosof Windows 
NR 


1. 凭据 提示 
下 
在 Windows Vista 和 Windows Server 2008 中 ， 除 内 置 [ER 
管理 员 (Built-in Administrator) 外 ， 所 有 用 户 都 将 以 普通 。 | 5 sesso 本 半 


显示 提升 凭据 提示 ， 如 图 5.36 所 示 。 此 时 ， 用 户 需 要 输入 
一 个 有 效 的 用 户 名 和 密码 来 证 明 自 己 是 授权 用 户 。 


2. 确认 提示 
如 果 本 地 计算 机 的 UAC 设置 为 “管理 批准 模式 (Admin Approval Mode)”， 则 当 管 理 员 组 


图 5.36 ”普通 用 户 试图 执行 管理 任务 


时 会 显示 凭据 提示 
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的 成 员 需 要 以 管理 员 权限 执行 任务 时 ， 就 会 出 现 如 图 
5.37 所 示 确认 提示 。 

为 了 让 用 户 能 够 更 好 地 做 出 决定 ，UAC 权限 提升 提 
示 使 用 背景 颜色 、 盾 牌 图 标 样式 和 提示 信息 来 表示 不 同 
程度 的 潜在 安全 风险 。 

应 用 程序 尝试 使 用 管理 员 的 完全 存 取 令 牌 运行 时 ， 一 一 
Windows Vista 和 Windows Server 2008 会 分 析 可 执行 文 图 5.37 管理 员 试图 执行 管理 任务 


ED ET 


天 疡 由 关 折 制 熏 和 上 对 估 的 计 务 机 的 未 既 尖 权 的 更 改 。 


件 以 确定 其 发 行者 ， 并 使 用 此 信息 来 决定 正确 的 用 户 体 时 会 显示 同意 提示 


验 。 例如， 如 果 提 示 信 息 背 景 颜色 为 灰色 (如 图 5.38 所 
示 ) ， 则 表明 需要 管理 权限 的 应 用 程序 是 通过 代码 验证 
签名 的 , 且 属 于 本 地 计算 机 的 信任 程序 ， 如 Microsoft 防 。 | 3 党 
火 墙 客户 端 (Microsoft Firewall Client) 和 ISA (Internet 四 
Security and Acceleration Server) 服务 器 。 Y een) EE 
如 果 提 示 信 息 背 景 颜 色 为 黄色 (如 图 5.39 所 示 ) ， SP Ne 
表明 需要 管理 权限 的 应 用 程序 不 具有 正确 代码 验证 签 。 。 图 538 应 用 程序 已 由 代码 给 证 签名 
名 ， 因此 运行 它 是 有 一 定 风险 的 。 且 受 本 地 计算 机 信任 
如 果 提 示 信 息 背 景 颜 色 为 红色 (如 图 5.40 所 示 ) ， 
并 且 盾 牌 图 标 也 变 为 “ 红 底 白 义 号 ”， 则 表明 需要 管理 
权限 的 应 用 程序 来 自 被 阻止 或 是 非 受 信任 的 发 布 者 。 管 
理 员 可 以 将 发 布 者 签名 证 书 存放 在 本 地 计算 机 的 非 受信 
任 证 书库 中 ， 以 便 阻 止 特定 的 发 布 者 ， 当 然 ， 也 可 以 使 一 
用 组 策略 来 达到 同样 的 目的 。 ” annas, 


主人 (AI 
我 于 任 此 旦 过 ， 因 为 我 知道 此 生 六 的 闲 源 或 以 前 全 只 朋 过 此 程序， 


subinad 
Microsoft Corporation 


际 3# 和 和 此 二 权 的 垃 源 或 以 前 合生 月 过 此 程序 ， 否 则 清 不 要 运行 此 得 
邹 


[CD 拓 ES 的 类 方 光 


W 洋 晤 信息 (D) 


用 六 类 控 制 生动 掌上 上 对 多 的 计算 机 的 未 既 肖 和 的 更 汉 ， 


图 5.39 ”应 用 程序 未 经 签名 时 的 提示 信息 


图 5.40 阻止 特定 的 发 布 者 


注意 UAC 对 话 框 会 根据 发 布 者 的 代码 验证 签名 信任 级 别 , 来 决定 其 所 显示 的 细节 信息 ， 
C9 包括 可 执行 名 称 和 路 径 。 


在 Windows Vista 和 Windows Server 2008 中 ， 如 图 5.41 所 示 的 盾牌 图 标 表明 ， 当 用 户 执 
行 受 保护 的 操作 或 是 程序 时 ，UAC 会 提示 验证 。 

某 些 控制 面板 组 件 配 置 窗口 中 会 显示 UAC 提示 验证 图 标 , 例如 ， 如 图 5.42 所 示 “ 日 期 和 
时 间 ” 对 话 框 。 默 认 用 户 可 以 查看 时 钟 和 更 改 时 区 ， 而 要 更 改 本 地 系统 时 间 ， 则 需要 完全 管理 
员 访 问 令 牌 。 原 因 很 简单 ， 如 果 用 户 更 改 了 系统 时 间 ， 那 么 ， 将 导致 事件 日 志 中 的 事件 混乱 ， 
或 者 将 影响 计算 机 访问 Windows 域 时 的 验证 。 
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第 5 章 用 户 帐户 安全 EE 


了 
(EMT-06:00| 北京 , 重庆 ,天 用 竺 到 行政 区 ， 己 对 二 开 
indows 至 程序 RS 
加 Ness es ress 
用 发 记 近 制 央 肋 保 上 对 多 的 计算 机 的 示 既 援 的 更 改 。 | 
图 5.41 UAC 提示 验证 图 标 表示 图 5.42 “日 期 和 时 间 ” 对 话 框 


5.5.3 创建 UAC 组 策略 


管理 员 可 以 在 域 控制 器 的 “组 策略 管理 编辑 器 ”窗口 中 , 或 者 “本 地 安全 策略 ”编辑 器 窗 
口中 ， 查 看 和 编辑 UAC 相关 的 组 策略 。 依 次 展开 “本 地 计算 机 策略 ”一 “计算 机 配置 ”一 
“Windows 设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “安全 选项 ”分 支 ， 其 中 与 UAC 相关 的 
策略 包括 10 条 ， 如 图 5.43 所 示 。 


[ee ET ET i 
KI J 3 i 


TT 
Hh Ee rm 
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图 5.43 “本 地 组 策略 编辑 器 ”窗口 

Windows Server 2008 域 策略 和 Windows Server 2008 或 Vista 系统 的 本 地 组 策略 的 默认 设 
置 是 有 所 不 同 的 ， 本 例 中 以 本 地 组 策略 为 例 介 绍 的 。 

1. 用 户 帐户 控制 : 标准 用 户 的 提升 提示 行为 


UAC 提供 了 灵活 的 权限 提升 提示 体验 ， 如 果 用 户 能 够 提供 合法 的 管理 员 名 和 密码 ， 则 权 
限 提升 操作 成 功 。 如果 不想 赋予 用 户 提升 的 权限 ， 可 以 将 此 设置 设 为 自动 拒绝 提升 请 求 。 默 认 
此 设置 为 “提示 凭据 ”。 双击 “用 户 帐户 控制 : 标准 用 户 的 提升 提示 行为 ” 策略， 显示 如 图 5.44 
所 示 对 话 框 ， 在 下 拉 列 表 中 选择 希望 应 用 的 提示 行为 即 可 。 
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用 户 由 户 控制 :标准 用 户 的 提升 提示 行为 展 和 性 EE 
本 地 雪 全 设置 | 说 明 | 


昼 用 户 帐 户 控制 : 标准 用 户 的 提升 提示 行为 


ER 司 


run] ed 
图 5.44 “用 户 帐户 控制 : 标准 用 户 的 提升 提示 行为 属性 ”对 话 框 
2. 用 户 帐户 控制 : 管理 员 批准 模式 中 管理 员 的 提升 提示 行为 
如 果 某 操作 需要 管理 员 特权 才能 运行 ,此 策略 会 控制 管理 批准 模式 下 管理 员 的 UAC 提示 体验 。 
虽然 默认 设置 也 很 方 便 ， 但 是 强制 凭证 也 是 必要 的 。 在 默认 情况 下 ， 除 了 内 置 管理 员 帐 户外 的 所 有 
帐户 都 会 在 需要 提升 权限 前 被 提示 同意 操作 。 如 果 用 户 启用 了 此 项 策略 ， 就 可 以 选择 要 求 管理 员 提 
供 凭据 来 获得 提升 权限 ， 或 者 通过 无 须 提示 凭据 或 同意 提示 来 降低 安全 性 ， 如 图 545 所 示 。 


用 户 怕 户 位 制 _ 管 理 员 楷 准 挤 式 中 理 员 的 拦 天 失 未 和 为 宝玉 
本 地 安全 设置 | 说 明 | 
| 用 户 帐户 控制 ， 管 理 员 尼 准 模式 中 管理 员 的 提升 提示 行为 


Re | 


图 5.45 “用 户 帐户 控制 : 管理 员 批 准 模式 中 管理 员 的 提升 提示 行为 属性 ”对 话 杠 
3. 用 户 帐户 控制 : 检测 应 用 程序 安装 并 提示 提升 
此 设置 允许 或 是 禁止 应 用 程序 安装 检测 。 建 议 启用 此 设置 (默认 启用 )， 如 图 5.46 所 示 。 


用 户 蛋 户 控制 : 检测 应 用 程序 安 甘 并 用 未 友基 改作 HX 
| | 


时 用 户 帐户 控制 : 检 开 应用 程序 安装 着 提示 提升 


人 已 让 用 加 
广 B 基 用 G) 


图 5.46 “用 户 帐户 控制 : 检测 应 用 程序 安装 并 提示 提升 属性 ”对 话 框 
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4. 用 户 帐户 控制 : 将 文件 和 注册 表 写 入 错误 指定 到 每 个 用 户 位 置 


此 设置 允许 或 是 禁止 将 文件 和 注册 表 错 误 重 定 向 。 如 果 只 使 用 Windows Vista 或 Windows 
Server 2008 认证 的 软件 ， 可 以 禁用 此 设置 。 默 认 此 设置 是 启用 的 ， 如 图 5.47 所 示 。 


用 户 音 户 控制 ， 将 文件 和 注册 夫 写 入 错误 指定 到 每 十 用 户 位 于 汪汪 


图 5.47 “用 户 帐户 控制 。 将 文件 和 注册 表 写 入 错误 指定 到 每 个 用 户 位 置 属性 ”对 话 杠 
5. 用 户 帐 户 控制 : 仅 提升 安装 在 安全 位 置 的 UIAccess 应 用 程序 


UIAccess 应 用 程序 是 与 Windows UAC 提升 对 话 框 交互 最 为 频繁 的 程序 , Windows Vista 和 
Windows Server 2008 UAC 提升 对 话 框 是 受到 高 完整 性 级 别 保护 的 ， 因 此 ，UIAccess 应 用 程序 
必须 在 程序 清单 中 声明 其 需求 。 当 程序 运行 时 ，UIAccess 会 获得 特殊 的 完整 性 级 别 交 互 权限 。 
由 于 UIAccess 应 用 程序 功能 强大 ， 此 设置 会 强制 其 从 安全 目录 路 径 启动 。UIAccess 应 用 程序 
必须 具备 合法 且 信 任 的 代码 验证 签名 。 默 认 此 设置 是 启用 的 ， 如 图 5.48 所 示 。 


图 548 “用 户 帐户 控制 。 仅 提升 安装 在 安全 位 置 的 UIAccess 应 用 程序 属性 ”对 话 得 
6. 用 户 帐户 控制 : 提示 提升 时 切换 到 安全 桌面 


此 设置 用 于 定义 将 提升 提示 显示 在 用 户 桌 面 上 还 是 安全 桌面 上 。 安 全 桌面 阻止 出 站 欺骗 ， 
也 就 是 说 ， 安 全 桌面 所 阻止 的 信息 是 无 法 盗用 的 。 交 互 用 户 桌 面 的 UAC 对 话 框 可 以 模仿 ， 没 
有 安全 桌面 的 UAC 对 话 框 保险 。 默 认 此 设置 是 启用 的 ， 如 图 5.49 所 示 。 
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图 5.49 “用 户 帐户 控制 提示 提升 时 切换 到 安全 课 面 属性 ”对 话 相 
7. 用 户 帐户 控制 : 以 管理 员 批准 模式 运行 所 有 管理 员 


这 是 UAC 的 开关 选项 , 切 不 可 禁用 UAC, 否则 所 有 相关 的 功能 都 将 关闭 , 文件 和 注册 表 
虚拟 化 也 不 复 存在 ,用户 将 会 丢失 数据 。 使 用 管理 批准 模式 的 用 户 ,会 以 完全 权限 登录 ， 所 有 
程序 都 将 获得 管理 员 权 限 ， 并 且 这 一 切 都 不 会 有 任何 的 提示 出 现 。 另 外 ， 用 于 提高 Windows 
Vista 之 前 程序 兼容 性 的 应 用 程序 兼容 性 垫 片 也 被 禁用 了 。Intemet Explorer 保护 模式 同样 不 可 
用 ， 只 能 以 管理 权限 运行 。 默 认 情况 下 ， 此 设置 是 启用 的 ， 如 图 5.50 所 示 。 


模式 运行 所 有 管理 员 属性 


图 5.50 “用 户 帐户 控制 : 以 管理 员 批准 模式 运行 所 有 管理 员 属性 ”对 话 框 
8. 用 户 帐 户 控制 : 用 于 内 置 Administrator 帐户 的 管理 员 批准 模式 
此 安全 设置 控制 内 置 Administrator 帐户 的 行为 。 如 果 将 内 置 管理 员 帐 户 用 于 日 常 工作 ， 则 应 
当 禁 用 此 设置 。 不 过 禁用 后 ， 就 不 能 使 用 正 保护 模式 了 ， 所 有 的 程序 都 会 以 管理 员 权限 运行 。 
双击 “用 户 帐户 控制 ， 用 于 内 置 Administrator 帐户 的 管理 员 批准 模式 ”策略 ， 显 示 如 图 
5.51 所 示 对 话 框 。 在 “本 地 安全 设置 ”选项 卡 中 ， 选 择 “ 已 启用 ” 单 选 按钮 ， 启 用 该 策略 。 单 
击 “ 确 定 ”按钮 保存 设置 即 可 。 
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trator 慕 户 的 管理 员 批 淮 小 


图 5.51 “用 户 帐户 控制 ， 用 于 内 置 Administrator 帐户 的 管理 员 批准 模式 属性 ”对 话 杠 
9. 用 户 帐户 控制 : 允许 UIAcess 应 用 程序 在 不 适用 安全 桌面 的 情况 下 提示 提升 


此 安全 设置 控制 UIAccess 或 UIA 程序 是 否 可 以 自动 禁止 标准 用 户 使 用 提升 提示 的 安全 桌 
面 。 如 果 启用 此 设置 , 包含 Windows 远程 协助 的 UIA 程序 可 以 自动 禁用 提升 提示 的 安全 桌面 。 
除非 还 禁用 了 提升 提示 ， 和 否则 提示 会 出 现在 交互 式 用 户 桌面 而 不 是 安全 桌面 上 。 默 认 情况 下 ， 
该 设置 是 禁用 的 ， 如 图 5.52 所 示 。 


图 5.52 “用 户 帐户 控制 : 允许 UIAcess 应 用 程序 在 不 使 用 安全 课 面 的 情况 下 提示 提升 属性 ”对 话 杠 
此 设置 禁止 UIAccess 应 用 程序 ， 比 如 远程 协助 ， 在 安全 桌面 提示 提升 ， 而 是 在 UIAccess 


应 用 程序 完成 后 才 启动 安全 桌面 ， 如 图 5.53 所 示 。 对 于 依赖 远程 协助 来 为 终端 用 户 桌 面 提供 
支持 的 企业 而 言 ， 此 设置 非常 方便 。 其 默认 为 禁用 。 


是 否 希望 允许 Administrator 共享 对 桌面 的 控制 ? 
大 要 停止 共 部 控制， 在 “ 远 各 内助” 对 活 框 中 , 单 去 “停止 共享 "或 按 Esc 


5.53 ”Windows 远程 协助 
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10. 用 户 帐户 控制 : 只 提升 签名 并 验证 的 可 执行 文件 


此 设置 将 会 在 交互 应 用 程序 请 求 提升 时 , 核对 其 代码 验证 签名 。 如 果 企业 仅 运行 代码 验证 
签名 的 程序 ， 此 设置 可 以 提高 安全 性 ， 因 为 其 能 够 控制 需要 提升 权限 的 程序 。 不 过 ， 许 多 用 户 
在 使 用 此 设置 时 会 遇 到 签名 程序 兼容 性 问题 ， 所 以 此 设置 默认 为 禁用 的 ， 如 图 5.54 所 示 。 


用 户 疏 户 控制 : 只 提升 签名 并 输 证 的 可 的 行 交 举 芭 必 |x| 
本 地 安全 设置 | 溢 明 | 
时 用 户 帐户 控制: 只 提升 下 名 并 验证 的 可 执行 文件 
匠 


CBO 
MG) 


CR ]_ ww |_saw | 


图 5.54 “用 户 帐户 控制 :只 提升 签名 并 验证 的 可 执行 文件 属性 ”对 话 杠 
5.5.4 ”UAC 相关 策略 


Windows Vista 和 Windows Server 2008 还 有 两 个 补充 策略 设置 : 要 求 输入 凭证 的 受信 任 路 
径 和 在 提升 设置 中 列举 本 地 管理 员 帐 户 。 在 “本 地 组 策略 编辑 器 ”窗口 中 ， 依 次 展开 “本 地 计 
算 机 策略 \ 计 算 机 配置 \ 管 理 模板 \Windows 组 件 \ 凭 据 用 户 界 面 ” 分支 ， 即 可 查看 和 编辑 UAC 相 
关 的 策略 ， 如 图 5.55 所 示 。 
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图 5.55 “凭据 用 户 界面 ”对 话 杠 
1. 要 求 输入 凭证 的 受信 任 路 径 
此 设置 控制 用 户 是 否 使 用 受信 任 路 径 输入 Windows 凭据 。 受 信任 路 径 指 的 是 一 个 安全 密 
钥 序列 ， 有 时 指 安全 警告 序列 ， 其 能 够 防止 恶意 软件 盗 取 Windows 凭据 。 当 普通 用 户 试图 执 
行 需要 管理 员 权 限 的 任务 时 ， 系 统 会 强制 用 户 按 下 “Ctrlt+Alt+Delete” 组 合 键 ， 避 免 其 使 用 伪 
造 的 密码 获取 权限 ， 这 就 加 强 了 安全 性 。 默 认 情况 下， 该 策略 是 未 配置 的 ， 双击“ 要 求 输入 凭 
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据 的 受信 任 路 径 ” 策 略 ， 显 示 如 图 5.56 所 示 对 话 框 。 用 户 可 以 根据 需要 启用 


第 5 章 用 户 帐户 安全 ji 


用 该 策略 。 


EE 
上 证 厅 | _ 下 -个 说 要 四 


图 5.56 


2. 提升 时 枚 举 管理 员 帐 户 


默认 情况 下 , 该 策略 是 未 配置 的 ， 即 尝试 提升 J 


“要 求 输入 凭证 的 受信 任 路 径 。 属性” 对话 框 


E 在 运行 的 应 用 程序 时 ， 不 会 显示 管理 员 帐 


户 。 双 击 “ 提 升 时 枚 举 管理 员 帐户 ”策略 ， 显 示 如 图 5.57 所 示 对 话 框 。 如 果 启 用 此 策略 设置， 
则 会 显示 计算 机 上 的 所 有 本 地 管理 员 帐 户 , 这样 用 户 便 可 以 从 中 选择 一 个 帐户 并 输入 正确 的 密 
码 。 如 果 禁 用 此 策略 设置 ， 系 统 将 始终 要 求 用 户 输入 用 户 名 和 密码 进行 提升 。 


启用 此 设置 后 ,在 UAC 凭据 用 户 界面 中 自动 列举 管理 员 帐 户 ， 如 图 5.58 所 示 。 需 要 注意 


的 是 ， 在 某 些 域 环境 中 ， 会 遇 到 网 络 连接 问题 ， 如 果 应 用 此 设置 会 导致 不 可 预期 的 延迟 。 


提升 时 枚 举 管 理 员 帐 户 属性 
主 | 许 | 
加 yh 
站 可 时 CD) 


全 已 启用 虽 ) 
已 皇 和 0) 


走 持 ;至 Yindows Vists 


上 上 一 个 设置 中) 下 人 要 


5.57 “提升 时 列举 管理 员 帐 户 属性 ”对 话 框 


| HSswY)-PCNwang 
| EE 


国 全 用 蓝 他 帐户 


ED 


[mE 


用 站 术 关 近 于 上 对 的 计生 的 末 引 和 避 的 更 区， 


图 5.58 自动 列举 管理 员 帐 户 
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小 结 


用 户 是 计算 机 和 网 络 的 主体 , 用 户 帐 户 是 与 用 户 一 一 对 应 的 , 为 了 确保 系统 安全 , 管理 员 
往往 需要 针对 用 户 身份 的 不 同 , 为 其 对 应 的 帐户 分 配 不 同 的 访问 和 操作 权限 。 本 章 主要 介绍 了 
Windows Server 2008 系统 中 , 用 户 帐 户 的 基本 安全 设置 。 Administrator 是 Windows Server 2008 
默认 的 系统 管理 员 帐 户 , 也 是 最 易 收 到 攻击 的 用 户 帐 户 之 一 。 通常 情况 下 , 用 户 可 以 通过 设置 
强 密码 、 定 期 更 改 密码 、 设 置 陷阱 账号 等 方法 ， 确 保管 理 员 帐 户 的 安全 。 另 外 ， 管 理 员 还 可 以 
通过 设置 允许 用 户 帐户 登录 的 计算 机 和 登录 时 间 , 限制 用 户 的 某 些 操作 。 将 常用 的 操作 权利 分 
配 到 不 同 的 用 户 帐户 , 即 可 减轻 管理 员 的 工作 负担 , 又 可 以 提高 网 络 安全 性 。 UAC 是 Windows 
Server 2008 和 Windows Vista 系统 中 的 新 增 功能 ， 当 普通 帐户 由 于 受 限 而 未 能 完成 操作 时 ， 可 
以 临时 向 管理 员 请 求 相关 权限 ， 既 可 以 完成 操作 ， 又 不 会 改变 其 权限 设置 。 


习 题 


1. Windows Server 2008 默认 的 密码 策略 是 什么 ? 

2. 保证 用 户 帐户 安全 有 哪些 方法 ? (至 少 列 出 三 个 ) 

3. 如 何 制作 密码 重 置 盘 ? 

4. 限制 zhangsan 的 登录 时 间 为 星期 一 到 星期 五 早上 8 点 到 下 午 5 点 ， 星 期 六 到 星期 天 为 
中 午 12 点 到 下 午 6 点 的 命令 是 什么 ? 


实验 : 管理 员 帐 户 安全 


实验 目的 

掌握 保护 系统 管理 员 帐 户 安全 的 多 种 方法 。 

实验 内 容 

管理 员 帐 户 是 Windows 系统 中 最 易 受到 攻击 的 用 户 帐 户 之 一 , 应 从 多 个 方面 确保 其 安全 。 


1. 重 命名 管理 员 帐 户 。 
2. 设置 陷阱 帐户 。 
3. 为 管理 员 帐 户 设置 强 密码 。 
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第 日 章 


组 策略 安全 


组 策略 (Group Policy) 是 一 种 基于 组 对 象 的 高 效 管理 机 制 ， 可 以 帮助 管 
理 员 批量 完成 网 络 客户 端 部 署 任务 , 包括 安全 配置 、 用 户 环 境 设置 、 软 件 分 发 、 
用 户 帐户 策略 等 。 在 Windows 域 环境 中 ， 管 理 员 可 以 通过 组 策略 限制 用 户 可 
在 服务 器 上 进行 的 操作 ， 以 提高 服务 器 的 安全 性 。 


本 章 导读 


组 策略 概述 
组 策略 模板 
软件 限制 策略 
硬件 限制 策略 


Ag 
属 -。 Windows Server 2008 系统 安全 管理 实战 指南 


6.1 组 策略 概述 


组 策略 是 管理 员 为 用 户 和 计算 机 定义 并 控制 程序 、 网 络 资源 以 及 操作 系统 管理 的 一 种 主要 
工具 。 在 Windows Server 2008 Active Directory 环境 中 ， 管 理 员 可 以 管理 整个 域 中 用 户 桌面 环 
境 ， 例 如 限制 用 户 使 用 特定 的 程序 、 设 置 用 户 的 桌面 环境 、 添 加 登录 脚本 等 。 


6.1.1 组 策略 的 功能 


组 策略 不 仅 应 用 于 用 户 和 客户 端 计 算 机 , 而且 还 应 用 于 在 管理 范围 内 的 成 员 服务 器 、 域 控 
制 器 。 在 默认 情况 下 , 应 用 于 域 的 组 策略 将 影响 到 域 中 所 有 的 计算 机 和 用 户 。“Active Directory 
用 户 和 计算 机 ”还 提供 了 内 置 的 域 控制 器 。 管 理 员 可 以 通过 GPO (组 策略 对 象 ) 默认 域 控 器 
制 策略 ， 将 域 控制 器 与 其 他 计算 机 分 开 进行 管理 。 


6.1.2 组 策略 的 组 件 


组 策略 组 件 包括 组 策略 对 象 组 件 、 组 策略 容器 组 件 、 客 户 端 扩 展 组 件 、 组 策略 模板 组 件 、 
组 策略 编辑 器 组 件 、 计 算 机 策略 和 用 户 策略 组 件 、 组 策略 和 本 地 策略 组 件 。 


1. 组 策略 对 象 组 件 


在 活动 目录 中 , 站 点 、 域 和 组 织 单位 内 的 容器 对 象 都 可 以 连接 到 一 个 GPO 中 。 通过 连接 ， 
可 以 将 GPO 设置 应 用 于 指定 容器 中 的 用 户 和 计算 机 。GPO 由 组 策略 容器 (GPC) 和 组 策略 模 
板 (GPT) 两 个 部 分 组 成 。 


2. 组 策略 容器 组 件 


组 策略 容器 组 件 (Group Policy Container， 简 称 GPC) 是 一 个 活动 目录 对 象 ， 它 列 出 了 一 
个 特定 GPO 管理 的 GPT 名 称 。 当 Windows 客户 端 下 载 和 处 理 GPT 信息 时 ， 需 要 使 用 GPC 
信息 来 确定 。 


3. 客户 端 扩展 组 件 


客户 端 扩 展 组 件 (Client Side Extension， 和 简称 CSE) 在 Windows 客户 端 上 有 许多 功能 是 
由 组 策略 来 管理 的 ,这些 功 能 都 具备 相应 的 服务 , 不 仅 可 以 知道 如 何 获 取 和 处 理 组 策略 , 而且 
称 这 些 服务 为 “客户 端 扩 展 组 件 ” 是 以 动态 链接 库 形式 存在 。 


4. 组 策略 模板 组 件 
组 策略 模板 组 件 (Group Policy Template， 简 称 GPT)， 实 现 了 一 系列 的 指令 集 。 例 如 ， 对 
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注册 表 进 行 更 新 的 组 策略 存储 在 名 为 Registrypol 的 GPT 文件 中 ， 如 图 6.1 所 示 。 


各 BlEcpator0 


图 6.1 标准 GPT 文件 在 Sysvol 的 位 置 
5. 组 策略 编辑 器 组 件 
组 策略 编辑 器 组 件 〈Group Policy Editor， 简 称 GPE)， 是 一 个 MMC 管理 单元 ， 用 户 创建 
和 管理 GP0。 
6. 计算 机 策略 和 用 户 策略 组 件 
组 策略 对 象 设置 可 以 应 用 于 计算 机 对 象 和 用 户 对 象 。 
7. 组 策略 和 本 地 策略 组 件 


每 个 客户 端 都 有 自己 的 本 地 策略 , 如 果 用 户 是 域 成 员 则 登录 时 下 载 域 策 略 , 如 果 不 是 域 成 
员 ， 那 么 登录 时 使 用 本 地 策略 。 


6.2 组 策略 模板 


管理 模板 是 基于 注册 表 的 策略 设置 , 通过 管理 模板 的 定制 , 可 以 在 统一 界面 下 实现 对 相关 
组 策略 的 编辑 和 设置 从 而 有 效 地 实现 组 策略 的 管理 效率 。 在 Windows 2000/XP/2003 系统 中 ， 
策略 模板 文件 一 直 使 用 单独 文件 格式 ， 即 .adm 文件 。 传 统 的 .adm 模板 文件 虽然 为 修改 注册 表 
提供 了 必要 的 方法 ， 但 也 并 非 尽善尽美 。 在 Windows Server 2008 系统 中 ， 采 用 了 全 新 文件 格 
式 的 策略 模板 ， 即 .admx， 新 策略 模板 文件 的 出 现 ， 使 Windows Vista 或 Windows Server 2008 
用 户 管理 基于 注册 表 的 策略 设置 变 得 更 加 简便 。 
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6.2.1 Windows Server 2008 中 组 策略 的 新 特性 


在 Windows Server 2008 系统 中 对 原 有 的 系统 策略 进行 了 扩展 ，Windows server 2003 SP1 
中 提供 了 约 1700 条 组 策略 设置 , 但 是 在 Windows Server 2008 系统 中 已 增加 至 2400 条 组 策略 ， 
管理 功能 更 加 丰富 。 在 Windows Server 2008 系统 中 ， 组 策略 管理 控制 台 提供 了 更 多 元 化 的 组 
策略 管理 方式 ， 主 要 有 以 下 新 特点 : 


昌 支持 新 的 策略 应 用 范围 ， 包 括 无 线 和 有 线 网 络 、Windows 防火 墙 和 IPsec 策略 ， 支 持 电 
源 管 理 和 USB 设备 限制 策略 ; 

和 客户 和 域 控制 器 之 间 慢 速 链接 检测 已 经 有 所 改进 , 现在 可 以 有 一 个 更 稳定 的 机 制 , 来 判 
定 客户 是 否 通过 慢 速 链接 连接 到 域 控制 器 ， 从 而 决定 所 应 用 的 组 策略 行为 ; 

昌 组 策略 更 新 现在 是 基于 域 控制 器 的 可 用 性 ， 也 就 是 说 ， 当 客户 远程 通过 VPN 链接 到 网 
络 的 时 候 ， 组 策略 更 新 会 更 加 及 时 ; 

m 支持 多 个 本 地 策略 对 象 (LGPO) 以 及 针对 不 同 的 用 户 组 或 用 户 设置 不 同 的 组 策略 对 象 ; 

四 支持 基于 XML 的 管理 模板 文件 格式 化 (ADMX) ， 更 好 地 支持 多 语言 模板 ; 

昌 支持 per-GPO 和 per-GP 的 设置 ; 

@ GPMC 和 组 策略 编辑 器 都 有 了 改进 ， 并 且 增 加 了 新 功能 ; 

四 增加 了 通过 收购 Desktop Standard 所 获得 的 工具 ， 也 就 是 现在 被 称 为 Group Policy 
Preferences 的 工具 ， 用 它 来 实现 组 策略 的 自动 创建 。 


6.2.2 ADMX 和 ADM 文件 


新 的 ADMX 文件 格式 和 自 Windows NT 4.0 起 便 存 在 的 旧 ADM 格式 最 大 的 区 别 在 于 ， 
ADMX 采用 了 XML 标准 来 描述 注册 表 策 略 的 设置 。 首 先 ， 编 辑 XML 的 工具 要 远 多 于 编辑 
ADM 语法 的 工具 。 其 次 ， 由 于 XML 是 架构 化 的 ， 因 此 最 终 会 比较 容易 构建 一 些 工具 ， 来 帮 
助 用 户 在 正确 位 置 放置 正确 的 标记 ， 进 而 创建 结构 良好 的 ADMX 文件 。 其 中 架构 化 是 指 对 于 
给 定 的 XML 应 用 程序 (如 ADMX 格式 )， 有 一 个 文档 化 的 架构 来 描述 可 能 用 到 的 元 素 和 属性 
以 及 它们 的 组 织 方式 。 本 文 后 面 的 部 分 将 对 一 个 示例 进行 分 析 。 


1.ADMX 和 ADM 文件 的 区 别 


ADMX 和 ADM 的 另 一 个 主要 区 别 在 于 主 ADMX 文件 的 字符 串 部 分 分 到 了 语言 特定 的 
ADML (ADM Language，ADM 语言 ) 文件 中 。 如 果 熟 悉 ADM 文件 ， 就 会 知道 每 个 文件 的 结 
尾 会 有 一 个 以 “[strings]” 标 记分 隔 的 部 分 ， 其 中 用 户 可 以 为 字符 串 赋 值 ， 该 字符 串 会 在 使 用 
组 策略 编辑 器 和 管理 模板 时 显示 。 例如 ， 单 击 给 定 策略 的 “解释 ”选项 卡 时 所 看 到 的 文本 ， 就 
存储 在 该 字符 串 部 分 中 。 问题 是 字符 串 存储 在 ADM 文件 中 ,如 果 希 望 在 其 他 语言 的 Windows 
系统 上 使 用 该 ADM， 则 需要 创建 一 个 新 的 ADM 文件 ， 并 加 上 适用 于 该 语言 的 字符 串 部 分 。 

ADM 文件 本 身 默 认 被 保存 在 组 策略 的 SYSVOL 目录 下 的 “组 策略 模板 ” 中, 因此 每 当 创 
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建 一 个 GPO， 就 会 在 每 个 域 控制 器 上 占用 大 约 4 MB 的 存储 空间 ， 并 且 组 策略 模板 对 于 在 其 
他 工作 站 上 编辑 组 策略 都 是 必 不 可 少 的 ， 没 有 相应 的 ADM 文件 ， 就 无 法 编辑 包含 在 GPO 内 
的 任何 自 定义 设置 。 使 用 ADMX 格式 ， 就 避免 了 这 些 问 题 。 用 户 不 必 再 将 任何 内 容 直 接 存储 
在 GPO 内 部 ,因此 不 会 出 现 通常 所 说 的 “SYSVOL 膨胀 ”新 ADMX 标准 可 以 利用 “中 心 库 ” 
所 具备 的 优势 ， 存 储 新 的 ADMX 文件 ， 而 不 必 将 它们 复制 到 每 个 GPO 中 。“ 中 心 库 ” 的 另 一 
重要 作用 是 : 如 果 ADMX 文件 具有 更 新 的 定义 , 则 所 有 管理 工作 站 将 立即 使 用 更 新 的 ADMX 
文件 。 

新 的 ADMX 和 ADML 文件 同样 具有 新 的 存储 模型 ， 在 Windows Server 2008 系统 中 
默认 存储 的 路 径 是 %windir%\policydefinitions， 如 图 6.2 所 示 。 


x| 
(e173® (Polieydefinitions » SG | 
文件 @) 编 强 中 查看 工具 中 必 助 四 
组 织 > 旧 视 图 ” 加 条 开 双 夫 享 [2 
[ET 
bea 2008/1/19 ..， 文件 夹 
国 疝 
喃 图片 200811/19 ， ,AD 文件 
办 间 200811/19 ,.， ADNK 文件 
200811119 .AD 文件 
- -i 2008/1/19 ADIK 文件 
200811119 ..。 ADlK 文件 
中 有 2008/1119 ..。 ADllL 文件 
200811119 ，， AM 文件 
cmturwfirard adne 2008/1/19 ,.，。 A 文件 
DIPEmble vinx 2008/1119 ，， AD 文件 
J CipherSui tebr der. adax 2008/1/19 ADM 文件 
2008/1/!9 ,AD 文件 
Conf snx 2008/1119 ，， ADNK 文件 
ee 2008/1/19 .AD 文件 
2008/1119 .AD 文件 
2008/1/19 .ADM 文件 到 
2 Po 


6.2 查看 Windows Server 2008 中 的 ADMX 文件 


ADMX 文件 存储 目录 下 的 en-US 和 zh-CN 文件 夹 ， 分 别 用 于 存储 中 文 和 美式 英语 的 
ADML 文件 。 当 启动 组 策略 编辑 器 ， 展 开 管理 模板 节点 的 时 候 ， 编 辑 器 会 自动 查找 
到 %windir%\policydefinitions 文件 夹 。 当然 也 可 以 把 这 些 文件 复制 到 中 央 位 置 , 例如 中 央 存 储 。 

中 央 存 储 是 在 Sysvol 中 创建 的 域 范围 的 目录 , 降低 因 GPO 数量 的 不 断 增加 而 导致 的 其 他 
存储 和 更 大 复制 通信 的 需求 。 创建 中 央 存 储 之 前 , 组 策略 管理 工具 使 用 本 地 计算 机 中 的 核心 操 
作 系统 ADMX 文件 ,此 外 ,管理 工具 还 可 以 读 取 在 本 地 存储 或 在 GPO 中 存储 的 任何 其 他 ADM 
文件 。 这 将 确保 不 同 平台 管理 之 间 的 互 操作 性 。 仅 存在 于 ADMX 文件 中 的 所 有 策略 设置 只 能 
在 平台 上 使 用 。 

ADMX 和 ADML 文件 不 会 自动 复制 到 GPO 的 Sysvol 中 。 如 果 创 建 一 个 新 的 GPO， 则 默认 
不 包含 任何 ADMX 文件 。 所 有 的 ADMX 和 ADML 文件 ， 都 是 编辑 GPO 的 时 候 添加 进去 的 。 这 
样 可 以 节省 域 控制 器 中 Sysvol 的 存储 空间 ， 因 为 临时 文件 不 再 存储 于 每 个 域 控制 器 上 了 。 


2.ADMX 的 中 央 存 储 


Windows Vista 和 Windows Server 2008 中 的 一 个 显著 特性 ， 就 是 ADMX 中 央 存 储 。 在 之 
前 版 本 的 Windows 系统 中 , ADM 模板 的 主要 功能 就 是 生成 组 策略 的 管理 模板 , 并 且 自 动 复制 
到 每 个 GPO 模板 ， 这 种 复制 机 制 必然 产生 一 些 问 题 ， 导 致 GPO 的 管理 和 版 本 控制 出 错 。 在 
Windows Server 2008 和 Windows Vista 系统 中 ， 管 理 模 板 文件 被 基于 XML 的 文件 格式 取代 ， 
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并 且 增 加 了 多 语言 支持 和 强 版 本 控制 ， 可 以 在 多 语言 环境 中 管理 组 策略 。 

为 了 解决 ADM 模板 的 复制 和 管理 问题 ADMX 文件 被 集中 在 中 央 存 储 。 管 理 员 只 需要 
在 每 个 域 控制 器 的 C:\Windows\Sysvol\sysvol\<domain name>\Policies 下 ， 创 建 一 个 名 为 
PolicyDefinitions 的 文件 来 ， 并 将 所 有 的 ADMX 文件 复制 到 该 文件 夹 中 即 可 。 


6.2.3 编辑 ADMX 模板 


相对 于 以 前 操作 系统 版 本 所 使 用 的 ADM 文件 , Windows Vista/2008 中 的 ADMX 格式 有 了 
明显 的 改进 。XML 的 使 用 ， 为 编辑 和 搜索 这 些 文件 提供 了 更 为 清洁 的 框架 。 语 言 特定 字符 串 
向 单独 文件 的 转换 ， 使 得 多 语言 组 策略 编辑 能 够 无 缝 进行。 同时， 中心 库 消除 了 将 所 有 GPO 
与 ADM 文件 的 副本 一 同 存储 并 更 新 的 必要 性 。 用 XML 编写 ADMX 的 确 是 一 大 进步 ， 但 是 ， 
许多 管理 员 并 不 知道 如 何 编写 XML， 更 不 用 说 了 解 ADMX 用 于 创建 策略 扩展 的 架构 了 。 管 
理 员 可 以 使 用 多 种 编辑 工具 打开 或 编辑 ADMX 或 ADML 文件 , 如 记事 本 、 文 本 编辑 器 、Visual 
Studio 等 ， 甚 至 在 下 浏览 器 中 可 以 查看 文件 详细 内 容 。 如 图 6.3 所 示 在 记事 本 中 打开 的 系统 
默认 的 XML 文件 。 


an | 型 


图 6.3 使 用 记事 本 编辑 XML 文件 


6.3 安全 策略 


安全 策略 是 影响 计算 机 上 安全 设置 的 集合 , 通过 “安全 设置 ” 工具 可 以 更 改组 策略 对 象 的 
安全 配置 。 通 过 安全 策略 设置 可 以 影响 多 台 计 算 机 ， 有 利于 保护 计算 机 和 网 络 上 的 资源 。 
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6.3.1 帐户 策略 


第 6 章 组 策略 安全 ji 


帐户 策略 可 以 设 定 用 户 在 被 系统 拒绝 之 前 以 及 密码 帐户 过 期 时 ， 人 允许 进行 多 次 登录 尝试 。 
通过 设 定 密码 过 期 日 期 , 可 以 强迫 用 户 定期 更 改 密码 ,限制 允许 用 户 登录 的 时 间 等 。 通 过 建立 
严格 的 帐户 管理 策略 ， 有 效 地 挫败 肆意 和 无 意识 的 密码 攻击 。 


1. 密码 策略 
在 密码 策略 中 包含 以 下 6 个 策略 。 
(1 ) 密码 必须 符合 复杂 性 要 求 


此 安全 设置 确定 密码 是 否 符合 复杂 性 要 求 。 如 果 启 用 此 策略 ， 则 密码 必须 符合 Windows 


Server 2008 用 户 帐 户 密码 策略 ， 详 细 内 容 请 参考 本 书 “ 第 5 章 用 户 帐户 安全 ”中 的 相关 介绍 。 


01 打开 “组 策略 管理 编辑 器 ”窗口 ,依次 选择 “计算 机 配置 ” 
一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “ 帐 
户 策略 ”一 “密码 策略 ” 选项， 在 右 侧 窗 格 中 双击 “密码 
必须 符合 复杂 性 要 求 ” 选项， 显示 如 图 6.4 所 示 “ 密 码 必 
须 符合 复杂 性 要 求 属性 ”对 话 框 。 

02 选中 “定义 这 个 策略 设置 ” 复 选 框 ， 选 择 “ 已 启用 ” 单 先 
按钮 ， 单 击 “ 确 定 ”按钮 即 可 。 


提示 在 域 控制 器 上 ， 默 认 已 经 启用 ， 独 立 服务 


六 器 上 则 为 禁用 。 
县 


(2) 密码 长 度 最 小 值 


此 安全 设置 用 于 确定 用 户 帐户 密码 包含 的 最 少 字 
符 数 ， 可 以 设置 0 到 14 中 的 任何 一 个 什 。 


01 在 “组 策略 管理 编辑 器 ”窗口 中 ,依次 选择 “计算 机 配置 ” 
一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “ 帐 
户 策略 ”一 “密码 策略 ”选项 ， 在 右 侧 窗 格 中 双击 “密码 
长 度 最 小 值 ”选项 ,显示 如 图 6.5 所 示 “ 密 码 长 度 最 小 值 
属性 ”对 话 框 。 
02 选中 “定义 这 个 设置 ” 复 选 框 ， 在 “密码 必须 至 少 是 ” 文 
本 框 中 输入 密码 长 度 ， 单 击 “ 确 定 ” 按 钮 即 可 。 


提示 “默认 情况 下 ， 在 域 控制 器 上 的 值 为 7， 在 
< 证 独立 服务 器 上 的 值 为 0。 


Cue ] | 
图 6.4 “密码 必须 符合 复杂 性 要 求 属性 ”对 话 框 
密码 长 度 最 小 值 属性 xl 
到 于 码 长 朗 最 小 值 
万 定义 这 个 第 四 设置 0) 
村内 必 肌 至少 是 

安 作 条 

| _ 抽 有 


图 6.5 “密码 长 度 最 小 值 属性 ”对 话 框 
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(3 ) 密码 最 短 使 用 期 限 人 I 
支 全 沫 罗 认 置 | 训 明 | 
该 安全 设置 要 求 用 户 在 更 改 密码 之 前 必须 使 用 该 密 。 ， 屠 全 
码 一 段 时 间 (以 “天 ”为 单位 )。 设置 范围 为 1 到 999 之 【相生 和 
间 的 值 。 如 果 将 天 数 设置 为 0， 则 表示 人 允许 用 户 立 即 更 改 | 
密码 。 
01 在 “组 策略 管理 编辑 器 ”窗口 中 ， 依 次 选择 “计算 机 配置 ” 
一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “帐户 策 
略 ”一 “密码 策略 ”选项 ， 在 右 侧 窗 格 中 双击 “密码 最 短 使 
用 期 限 ” 选 项 , 显示 如 图 6.6 所 示 “ 密 码 最 短 使 用 期 限 属性 ” 
对 话 框 。 [ET | 取消 [ol 


2 选中 “定义 这 个 策略 设置 ” 复 选 框 ， 在 “在 以 下 天 数 后 可 以 本 
更 改 密 码 ” 文本 框 中 ， 输 入 可 以 更 改 的 天 数 ， 单 击 “ 确 定 ” 图 66 “密码 最 和 使 用 期 限 对 话 权 
按钮 即 可 。 


注意 ”密码 虽 短 使 用 期 限 必须 小 于 密码 最 长 使 用 期 限 。 在 域 控制 器 上 默认 值 为 1， 在 独立 
鸠 服务 器 上 默认 设置 为 0。 

(4) 密码 最 长 使 用 期 限 

该 设置 用 户 更 改革 个 密码 使 用 之 前 可 以 使 用 该 密码 的 期 间 〈 以 天 为 单位 )。 设 置 范围 介 于 


1 到 999 之 间 ， 如 果 将 密码 设置 为 0， 指 密码 永 不 过 期 。 
安全 第 哆 设置 | 说 明 | 
强 寅 99 最 长 使 有 期限 


011 在 “组 策略 管理 编辑 器 ”窗口 中 ， 依 次 选择 “计算 机 配置 ”一 
“策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “帐户 策略 ” | 和 E 
一 “密码 策略 ”选项 ,在 右 侧 窗 格 中 双击 “密码 最 长 使 用 期 限 ” 
选项 ， 显 示 如 图 6.7 所 示 “ 密 码 最 长 使 用 期 限 属性 ”对 话 框 。 
2 选中 “定义 这 个 策略 设置 ” 复 选 框 ， 在 “密码 过 期 时 间 ” 文 本 
框 中 输入 密码 过 期 天 数 。 
提示 一般 情况 下 安全 最 佳 操作 是 将 30 到 90 天 后 过 
\ 有 期 ,这样 入侵 者 用 来 破解 用 户 密码 以 及 访问 网 
络 资源 的 时 间 将 受到 限制 。 ee 
”rr 图 67 “密码 最 长 使 用 期 限 属性 ”对 活 框 


(5 ) 强制 密码 历史 
该 策略 确保 旧 密 码 不 被 连续 重新 使 用 来 增强 安全 性 。 


01 在 “组 策略 管理 编辑 器 ”窗口 中 ， 依 次 选择 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “ 安 
全 设置 ”一 “帐户 策略 ”一 “密码 策略 ”选项 ， 在 右 侧 窗 格 中 双击 “强制 密码 历史 ”选项 ， 显 示 如 
图 6.8 所 示 “ 强 制 密码 历史 属性 ”对 话 框 。 
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0 2 选中 “定义 这 个 策略 设置 ” 复 选 框 ， 在 “保留 密码 历史 ” 文 。 Raen | 二 
本 框 中 输入 许可 的 密码 数 ， 单 击 “ 确 定 ” 按 钮 即 可 。 网 
提示 ”在 域 控制 器 上 的 默认 值 为 24， 在 独立 服务 器 ee 
证 上 的 默认 值 为 0。 a 


(6) 用 可 还 原 的 加 密 来 存储 密码 


该 安全 设置 确定 操作 系统 是 否 使 用 可 还 原 的 加 密 来 
存储 密码 。 如 果 某 些 应 用 程序 使 用 的 协议 需要 用 户 密码 来 
进行 省 份 验证 ， 侧 策略 没 这 些 应 用 程序 提供 支持 。 


01 在 “组 策略 管理 编辑 器 ”窗口 中 ， 依 次 选择 “计算 机 配置 ” Ee] | | 
一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “帐户 策 图 6.8 “强制 密码 历史 属性 ”对 话 框 
略 ”一 “密码 策略 ”选项 ， 在 右 侧 窗 格 中 双击 “用 可 还 原 的 
加 密 来 存储 密码 ”选项 ， 显 示 如 图 6.9 所 示 “ 用 可 还 原 的 加 
密 来 存储 密码 属性 ”对 话 框 。 

2 选中 “定义 这 个 策略 设置 ” 复 选 框 ， 选 中 “已 启用 ” 单 选 按 
钮 ， 单 击 “ 确 定 ”按钮 即 可 。 


提示 “使 用 可 还 原 的 加 密 存储 密码 与 存储 纯 文 本 密 


访 码 本 质 上 是 相同 的 ,除非 应 用 程序 比 保护 密码 
信息 更 重要 ,否则 不 应 启用 此 策略 。 系 统 默 认 


设置 为 禁用 。 
L 枉 |] WW | mw | 
下 
2. 帐户 锁定 策略 图 6.9 “用 可 还 原 的 加 密 来 存储 密码 
帐户 锁定 策略 应 用 于 域 用 户 帐户 和 本 地 用 户 帐户 , 用 属性 ”对 话 框 


来 确定 帐户 的 锁定 的 时 间 和 阔 值 。 
(1) 复位 帐户 锁定 计数 器 
该 安全 设置 确定 在 登录 尝试 失败 计数 器 被 复位 为 0 [区 


之 前 ， 尝 试 登录 失败 之 后 所 需 的 时 间 。 有 效 范 围 为 1 到 
99 999 分 钟 。 


1 打开 “组 策略 管理 编辑 器 ”窗口 ， 选 择 “计算 机 配置 ”一 “ 策 
略 ” 一 “Windows 设置 ”一 “安全 设置 ”一 “帐户 策略 ”一 
“帐户 锁定 策略 ”选项 ， 在 右 侧 窗 格 中 双击 “复位 帐户 锁定 
计数 器 ”选项 , 显示 如 图 6.10 所 示 “ 复 位 帐户 锁定 计数 器 属 | 
性 ”对 话 框 。 

四 2 选中 “定义 这 个 策略 设置 ” 复 选 框 ， 然 后 在 文本 框 中 输入 帐 
户 复位 锁定 时 间 ， 单 击 “ 确 定 ”按钮 即 可 。 


图 6.10 “复位 帐户 锁定 计数 器 
属性 ”对 话 框 
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鸠 计数 器 才 有 意义 。 ee 
厂 定义 这 个 第 路 启 香 由) 
(2) 帐户 锁定 时 间 感 习 沦 


该 设置 确定 帐户 在 自动 解锁 之 前 保持 锁定 的 时 间 。 时 
间 范 围 为 0 到 99 999 分 钟 ， 如果 帐 户 锁定 时 间 为 0, 则 该 
帐户 将 一 直 被 锁定 直到 管理 员 明 确 解 除 对 它 的 锁定 。 


0 1 打开 “组 策略 管理 编辑 器 ”窗口 ,选择 “计算 机 配置 ” 一“ 策 
赂 ”一 “Windows 设置 ”一 “安全 设置 ”一 “帐户 策略 ”一 。 一 == 
户 锁定 策略 ”选项 ， 在 右 侧 窗 格 中 双击 “帐户 锁定 时 间 ” 时 | 
选项 ， 显 示 如 图 6.11 所 示 “ 帐 户 锁定 时 间 属性 ”对 话 框 。 图 6.11 “帐户 锁定 时 间 属性 ”对 话 框 
0 2 选中 “定义 这 个 策略 设置 ” 复 选 框 ， 在 文本 框 中 输入 锁定 时 间 长 度 ， 单 击 “ 确 定 ”按钮 即 可 。 


提示 
喝 只 有 设置 了 帐户 锁定 阅 什 是 ， 此 入 略 设置 才 有 意义 。 


人 


(3 ) 帐户 锁定 阔 值 [kPaaammt 
安全 素 昌 设置 | 说 明 | 


该 设置 可 以 导致 用 户 帐户 被 锁定 尝试 登录 失败 的 次 再 wsm 
数 ， 在 管理 员 解锁 该 帐户 ， 否 则 无 法 使 用 该 锁定 帐户 ， 从 。 。 己 攻 三 
而 降低 了 用 户 密码 被 破解 的 可 能 性 。 el 


01 在 “组 策略 管理 编辑 器 ”窗口 中 ， 依 次 选择 “计算 机 配置 ”一 
“策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “帐户 策略 ” 
一 “帐户 锁定 策略 ”选项 , 在 右 侧 窗 格 中 双击 “帐户 锁定 阐 值 ” 
选项 ， 显 示 如 图 6.12 所 示 “ 帐 户 锁定 阅 值 属性 ”对 话 框 。 

0 2 选中 “定义 这 个 策略 设置 ” 复 选 框 ， 然 后 在 “帐户 不 锁定 ” 文 


本 框 中 输入 无 效 登录 的 次 数 。 CD | a 
3. Kerberos 策略 设置 图 6.12 “帐户 锁定 阔 值 属性 ”对 话 杠 


Kerberos 策略 是 活动 目录 使 用 的 默认 认证 方式 ， 自 动 活动 目录 使 用 Kerberos 作为 必要 的 
认证 方式 后 , 该 策略 对 域 GPO 具有 重要 作用 。 如 表 6.1 所 示 列 出 了 Kerberos 选项 的 推荐 设置 。 


表 6.1 Kerberos 选项 的 一 些 推荐 设置 


Kerberos 选项 推荐 设置 


服务 票证 最 长 寿命 600 分 钟 
决定 一 个 Kerberos 服务 票证 的 可 用 时 间 〈 以 分 钟 为 单位 ) 。 该 选项 的 值 必须 介 于 10 分 钟 
和 “用 户 票证 最 长 寿命 ”设置 值 之 间 。 默 认 的 域 GPO 中 这 个 选项 被 设置 为 600 分 钟 
注意 当 创 建 一 个 到 服务 器 的 新 连接 时 ,过 期 的 服务 票证 只 会 被 更 新 ， 如 果 一 个 已 建立 的 
会 话 的 票证 过 期 了 ， 会 话 并 不 会 中 断 
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( 续 表 ) 
Kerberos 选项 推荐 设置 

计算 机 时 钟 同步 的 最 大 容 差 5 分 钟 
设 定 了 KDC 和 客户 端 计算 机 时 钟 时 间 差距 的 最 大 值 〈 以 分 钟 为 单位 ) ， 为 了 防止 轮番 攻 
击 ，Kerberos 使 用 了 时 间 稚 。 因 此 为 了 时 间 稚 能 正常 工作 ，KDC 和 客户 端 时 钟 尽 可 能 保 
持 同 步 是 很 重要 的 。 在 默认 的 域 GPO 中 ， 这 个 选项 被 设置 为 5 分 钟 
用 户 票 证 续 订 最 长 寿命 ?天 
设置 可 以 续 订 TGT 的 最 大 期 限 〈 以 天 为 单位 )。 默 认 的 域 GPO 中 这 个 选项 被 设置 为 7 天 
用 户 票 证 最 长 寿命 
决定 Kerberos TGT (ticket-granting ticket， 票 证 授予 票证 ) 的 最 长 使 用 时 间 〈 以 小 时 为 单 
位 ) ，TGT 到 期 后 ， 必 须 重新 申请 一 个 新 的 票证 或 者 更 新 已 有 的 。 默 认 的 域 GPO 中 这 个 
选项 被 设置 为 10 小 时 


10 小 时 


6.3.2 ”审核 策略 


安全 审核 对 于 任何 企业 系统 来 说 都 极其 重要 ， 可 以 通过 审核 日 志 来 发 现 是 否 违反 安全 事 
件 ,例如 当 发 现 有 入 侵 时 , 正确 的 审核 设置 所 生成 的 审核 日 志 将 包含 有 关 此 次 入 侵 的 重要 信息 。 
Windows Server 2008 中 审核 策略 为 没有 定义 即 关闭 状态 ， 必 须 手动 开启 ， 审 核 策略 设置 完成 
后 需要 重新 启动 计算 机 才能 生效 。 


1. 审核 策略 更 改 


该 安全 设置 确定 是 否 审核 用 户 权限 分 配 策略 、 审 核 策略 或 信任 策略 的 每 一 个 更 改 事件 。 如 
果 定 义 该 策略 设置 ,可 以 指定 是 否 审核 成 功 、 审核 失败 或 者 根本 不 审核 该 事件 类 型 。 成 功 审核 
在 成 功 更 改 用 户 权 限 分 配 策略 、 审核 策略 或 信任 策略 时 生成 审核 项 。 失败 审核 在 更 改 用 户 权限 
分 配 策略 、 审 核 策略 或 信任 策略 失败 时 生成 审核 项 。 


0 1 在 “组 策略 管理 编辑 器 ”窗口 中 , 依次 选择 “ 计 
算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “ 安 
全 设置 ”一 “本 地 策略 ”一 “审核 策略 ”选项 ， 显 
示 如 图 6.13 所 示 “ 审 核 策略 ”窗口 。 


6.13 “审核 策略 ”窗口 
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0 2 在 右 侧 窗 格 中 双击 “审核 策略 更 改 ”选项 ， 显 
示 如 图 6.14 所 示 “ 审 核 策略 更 改 属性 ”对 话 框 。 
03 选中 “定义 这 些 策略 设置 ” 复 选 框 ， 根 据 实际 
需要 选择 “成 功 ”或 “失败 ” 复 选 框 ， 即 可 完成 该 
策略 的 设置 。 


[rm ] 盔 | apw| 
6.14 _ “审核 策略 更 改 属性 ”对 话 框 


2. 审核 登录 事件 


审核 登录 事件 可 以 确定 是 否 审核 用 户 登 录 或 注销 的 每 个 实例 。 对 于 域 用 户 帐户 活动 , 则 此 
事件 生成 在 域 控制 器 上 ;对 于 本 地 帐户 活动 ， 则 登录 事件 生成 在 本 地 计算 机 上 。 


0 1 依次 选择 “计算 机 配置 "一 “策略 ”一 “Windows ee | EE 
设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “审核 策 

赂 ”选项 ， 在 右 侧 窗 格 中 双击 “审核 登录 事件 ” 选 
项 ， 显 示 如 图 6.15 所 示 “ 审 核 登 录 事件 属性 ”对 
话 框 。 
2 选中 “定义 这 些 策略 设置 ” 复 选 框 ， 根 据 实际 
需要 选择 “成 功 ”或 “失败 ” 复 选 框 ， 单 击 “ 确 定 ” 
按钮 完成 该 策略 的 设置 。 


取消 Eady 
图 6.15 “审核 登录 事件 属性 ”对 话 框 


3. 审核 对 象 访问 


“审核 对 象 ”设置 用 于 确定 是 否 对 用 户 访问 指定 了 自身 系统 访问 控制 列表 (SACL) 的 对 
象 (文件 、 文件 来、 注册 表 和 打印 机 等 ) 这 一 事件 进行 审核 。 如 果 定 义 了 此 策略 设置 ， 则 可 指 
定 是 否 审核 成 功 、 审 核 失 败 或 根本 不 审核 该 事件 类 型 。 无 论 是 成 功 审 核 还 是 失败 审核 都 会 在 上 
户 尝试 访问 指定 SACL 的 对 象 时 生成 一 个 审核 项 。 


薄 


四 1 依次 选择 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “审核 策略 ” 
选项 ， 在 右 侧 窗 格 中 双击 “审核 登录 事件 ”选项 ， 显 示 如 图 6.16 所 示 “ 审 核对 象 访问 属性 ”对 话 框 。 
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图 6.16 “审核 对 象 访问 属性 ”对 话 框 


0 .2 选中 “定义 这 些 策略 设置 ” 复 选 框 ， 根 据 实际 需要 选择 “成 功 ”或 “失败 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 
完成 该 策略 的 设置 。 


4. 审核 进程 跟踪 


“审核 进程 跟踪 ”设置 用 于 确定 是 否 审核 事件 的 详 
细 跟 踪 信 息 ， 如 程序 的 激活 、 句 柄 复制 、 间 接 对 象 访问 
和 进程 退出 等 ， 如 果 定义 了 此 策略 的 设置 ， 无 论 事件 审 
核 成 功 或 失败 都 会 在 跟踪 过 程 中 生成 一 个 审核 项 。 


01 依次 选择 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ” 
一 “安全 设置 ”一 “本 地 策略 ”一 “审核 策略 ”选项 ， 在 
右 例 窗 格 中 双击 “审核 进程 跟踪 ”选项 ， 显 示 如 图 6.17 所 
示 “ 审 核 进程 跟踪 属性 ”对 话 框 。 

02 选中 “定义 这 些 策略 设置 ” 复 选 框 ,根据 实际 需要 选择 “成 
功 ” 或 “失败 ” 复 选 框 ， 单 击 “确定 ”按钮 完成 该 策略 的 


5. 审核 目录 服务 访问 


“审核 目录 服务 访问 ”设置 用 于 确定 是 否 对 用 户 访问 Active Directory 对 象 的 事件 进行 审 
核 ,该 对 象 指定 了 自身 系统 访问 控制 列表 (SACL)。 无 论 用 户 在 成 功 或 失败 访问 指定 了 SACL 
的 Active Directory 对 象 时 都 会 生成 一 个 审核 项 。 


01 依次 选择 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “审核 策 
略 ” 选 项， 在 右 便 窗 格 中 双击 “审核 目录 服务 访问 ”选项 ， 显 示 如 图 6.18 所 示 “ 审 核 目录 服务 访问 属 
性 ”对 话 框 。 
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Windows 


图 6.18 “审核 目录 服务 访问 属性 ”对 话 框 


0 2 选中 “定义 这 些 策略 设置 ” 复 选 框 ， 根 据 实际 需要 选择 “成 功 ”或 “失败 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 
即 可 完成 配置 。 


6. 审核 特权 使 用 


“审核 特权 使 用 ”设置 用 于 确定 是 否 对 用 户 行使 用 
户 权限 的 每 个 实例 进行 审核 ， 如 果 定义 了 此 策略 设置， 
无 论 是 否 审核 成 功 或 失败 ， 都 会 生成 一 个 审核 项 。 


0 1 依次 选择 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ” 
一 “安全 设置 ”一 “本 地 策略 ”一 “审核 策略 ”选项 ， 在 
右 侧 窗 格 中 双击 “审核 特权 使 用 ”选项 ， 显 示 如 图 6.19 所 
示 “ 审 核 特权 使 用 属性 ”对 话 框 。 

0 2 选中 “定义 这 些 策略 设置 ” 复 选 框 ， 根 据 实际 需要 选择 “成 
功 ” 或 “失败 ” 复 选 框 。 默 认 情况 下 ， 即 使 启用 了 “审核 
特权 使 用 ”也 不 会 为 下 列 用 户 权限 生成 审核 事件 : 


中 过 遍历 检查 ; 
和 a 调试 程序 ; 图 6.19 “审核 特权 使 用 属性 ”对 话 框 
昌 创建 令 牌 对 象 ; 
虽 蔡 换 进程 级 令 牌 ; 
于 生成 安全 审核; 
里 备份 文件 和 目录 ; 
四 还 原文 件 和 目录 。 


编辑 注册 表 可 能 严重 损坏 系统 , 所 以 在 更 改 注册 表 之 前 , 应 当 备份 好 计算 机 上 的 所 有 重要 


7. 审核 系统 事件 


“审核 系统 事件 ”设置 用 于 确定 用 户 重启 或 关闭 计算 。 疆 
机 时 或 者 发 生 影响 系统 安全 或 安全 日 志 的 事件 时 , 是 否 进 ”ome 
行 审核 。 如 果 定 义 了 此 策略 设置 ， 无论 审 核 成 功 或 失败 都 Es 
会 生成 一 个 审核 项 。 


0 1 选择 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “ 安 
全 设置 ”一 “本地 策略 ”一 “审核 策略 ”选项 ， 在 右 侧 窗 格 
中 双击 “审核 系统 事件 ”选项 ， 显 示 如 图 6.20 所 示 “审核 系 
统 事 件 属性 ”对 话 框 。 

0 2 选中 “定义 这 些 策略 设置 ” 复 选 框 ， 根 据 实际 需要 选择 “成 | 
功 ”或 “失败 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 即 可 完成 设置 。 图 6.20 “审核 系统 事件 属性 ”对 话 框 


8. 审核 帐户 登录 事件 


“审核 帐户 登录 事件 ”设置 用 于 确定 是 否 对 用 户 在 男 。 pg 
一 台 计 算 机 上 登录 或 注销 的 每 个 实例 进行 审核 。 如果 定义 。 ”9 向 哇 |wa | 
了 此 策略 设置 ， 无 论 审核 成 功 或 失败 都 会 生成 一 个 审核 
项 。 如 果 在 域 控制 器 上 启用 了 帐户 登录 事件 的 成 功 审核 ， ee 
则 对 于 没有 通过 域 控制 器 验证 的 每 个 用 户 , 都 会 生成 一 个 Ee 
审核 项 , 即使 该 用 户 实际 上 只 是 登录 到 加 入 该 域 的 一 个 工 
作 站 上 。 


01 依次 选择 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 
“安全 设置 ”一 “本 地 策略 ”一 “审核 策略 ”选项 ， 在 右 便 
窗 格 中 双击 “审核 帐户 登录 事件 ” 选项， 显示 如 图 6.21 所 示 
“审核 帐户 登录 事件 属性 ”对 话 框 。 CE] ww | se | 
有 02 选中 “定义 这 些 策略 设置 ” 复 选 框 ， 根 据 实际 需要 选择 “成 。 图 621 “审核 帐户 登录 事件 属性 ”对 话 框 
功 ” 或 “失败 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 即 可 完成 设置 。 


9. 审核 帐户 管理 

“审核 帐户 管理 ”设置 用 于 确定 是 否 对 计算 机 上 的 每 个 帐户 管理 时 间 进行 审核 。 帐户 管理 
事件 示例 包括 : 

里 创建、 修改 或 删除 用 户 帐户 或 组 ; 

下 重 命名 、 禁 用 或 启用 用 户 帐 户 ; 

里 设置 或 修改 密码 。 


如 果 定义 了 此 策略 设置 ， 无 论 审核 成 功 或 失败 都 会 生成 一 个 审核 项 。 在 响应 安全 事件 时 
阻止 对 创建 、 更 改 或 删除 帐户 的 人 员 进 行 跟踪 。 


01 依次 选择 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “审核 策 
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a 
略 ” 选 项 ， 在 右 侧 窗 格 中 双击 “审核 帐户 管理 ”选项 ， 显 示 “| spean 
如 图 6.22 所 示 “ 审 核 帐户 管理 属性 ”对 话 框 。 3 | 

02 选中 “定义 这 些 策略 设置 ” 复 选 框 , 然后 根据 实际 需要 选择 “成 | 放 ewig 

a 功 ” 或 “失败 ” 复 选 框 ， 单 击 “确定 ”按钮 取 可 完成 设置 。 | 

FD) 

6.3.3 证 书 规则 限制 策略 
使 证 书 与 软件 进行 绑 定 ， 当 软件 在 网 络 上 运行 时 通过 

对 证 书 的 验证 也 已 确认 该 软件 是 否 是 合法 软件 ， 从 而 提高 

网 络 环境 的 安全 性 。 Cw wh |_ii’ 
1. 软件 限制 策略 图 6.22 “审核 帐户 管理 属性 ”对 话 框 
使 用 “软件 限制 策略 ” 通过 标识 并 指定 允许 哪些 应 用 程序 运行 ， 可 以 保护 用 户 的 计算 


免 受 不 可 信任 的 代码 的 侵扰 。 


0 1 在 “组 策略 管理 器 ”中 ， 依 次 选择 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 
“软件 限制 策略 ” 选项， 打开“ 组 策略 管理 编辑 器 ”窗口 。 右 击 “ 其 他 规则 ”选项 ， 在 弹出 的 快捷 菜单 

中 选择 “新 建 证 书 规则 ”命令 ， 显 示 如 图 6.23 所 示 “ 新 建 证 书 规则 ”对 话 框 。 

0 2 单 击 “浏览 ”按钮 ， 显 示 如 图 6.24 所 示 “ 打 开 ” 窗 口 ， 选 择 相关 证 书 单 击 “ 确 定 ”按钮 ， 返 回 到 “新 
建 证 书 规则 ”对 话 框 。 


| 
8 用 规则 答 代 愤 认 安全 加 别 » 
单 击 “ 洲 咯 ” 末 选择 证 书 ， 然后 过 香雪 全 级 别 。 
证 使 月 者 各 移 
| ME) 
9 0 档 - 
te Wi ee 十 
NMS) [FF 可 BD EF 


0): 到 二 更 允 


四 # 
娄 用 
文 加 突 ~ I 
名 四 司 HR#w ee ee 司 
[LE ww | sm%| Ew || 
图 6.23 新 建 证 书 规则 图 6.24 “打开 ”窗口 


03 在 “安全 级 别 ”下 拉 列 表 项 中 选择 “不 允许 ”选项 ， 单 击 “ 确 定 ”按钮 ， 显 示 如 图 6.25 所 示 “ 软 件 限 
制 策略 ”对 话 框 。 

04 单 击 “ 是 ”按钮 ， 显 示 如 图 6.26 所 示 “ 强 制 属性 ”对 话 框 ， 根 据 实际 情况 选择 该 证 书 限制 的 文件 、 用 
户 证 书 的 执行 状态 。 
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ba 
上 几 软 件 入 有 到 下 列 广 件 
了 去 诛 文件 押 DID) 之 外 的 疡 有 软件 文件 ) 


软件 限制 策 攀 Es 


\ 当前 未 执行 证 书 规则 * 是 否 要 启用 它们 ? 
注 ; 证 书 规 账 对 计算 机 的 性 能 产生 负面 8 网 


© BND 
让 主 - 汪 站 夫 风 会 对 计算 机 4l 能 产生 负面 于 向 。 


了 荐 关 于 次 半 38 制 少 本 的 更 多 信息 
Ee Em 
图 6.25 “软件 限制 策略 ”对 话 杠 图 6.26 “强制 属性 ”对 话 杠 


0 5 依次 单 击 “ 确 定 ”按钮 完成 证 书 规则 的 创建。 


2. 客户 端 测试 


当 客户 端 计算 机 运行 “qq.exe” 时 , 显示 如 图 6.27 
所 示 “ 此 程序 被 组 策略 阻止 ”对 话 框 。 


Files\Tencent\QQ2009\Bin\gQ xe 


[% 有， 天 
图 6.27 “此 程序 被 组 策略 阻止 ”对 话 框 


6.4 软件 限制 策略 


软件 限制 策略 的 主要 功能 在 于 控制 未 知 或 不 信任 的 软件 安装 ， 如 间谍 软件 、 恶 意 程序 等 。 
使 用 组 策略 的 软件 限制 策略 功能 ， 可 以 为 策略 作用 域 下 用 户 的 软件 使 用 进行 限制 。 顾 名 思 义 ， 
软件 限制 策略 就 是 限制 某 些 软件 的 使 用 。 使 用 组 策略 的 限制 软件 策略 ,可 以 通过 规则 标识 并 设 
置 安全 级 别 来 指定 软件 是 否 运行 从 而 达到 客户 端 计算 机 系统 的 可 管理 性 、 安 全 性 。 使 用 目的 是 
控制 不 信任 的 和 不 被 允许 的 软件 在 网 络 内 的 非法 使 用 ， 例 如 使 用 软件 限制 策略 可 以 禁止 运行 
QQ、MSN 等 聊天 工具 。 


6.4.1 软件 限制 策略 概述 


使 用 软件 限制 策略 , 可 通过 标识 并 指定 允许 运行 的 软件 来 保护 计算 机 环境 免 受 不 信任 软件 
的 侵袭 。 可 以 为 组 策略 对 象 定义 “不 受 限 的 ”或 “不 允许 的 ”的 默认 安全 级 别 ， 从 而 决定 是 否 
在 默认 情况 下 允许 软件 运行 。 通过 为 特定 软件 创建 软件 限制 策略 规则 , 可 以 相对 于 默认 安全 级 
别 做 出 例外 安排 。 软件 限制 策略 使 用 规则 来 标识 和 控制 软件 的 运行 方式 。 可 以 通过 软件 程序 的 
哈 希 、 证 书 、 路 径 或 其 所 驻 留 的 Internet 区 域 对 其 进行 标识 。 对 软件 进行 了 标识 后 ， 可 以 决定 
是 否 允 许 运行 。 
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软件 限制 策略 可 应 用 于 计算 机 或 用 户 ,这 取决 于 是 修改 “计算 机 配置 ”中 的 设置 还 是 “用 
户 配 置 ” 中 的 设置 。 软 件 限制 策略 是 通过 组 策略 得 以 应 用 的 。 需 要 将 策略 设置 应 用 于 组 策略 对 
象 ， 该 对 象 与 本 地 计算 机 、 站 点 、 域 或 组 织 单位 相连 。 如 果 应 用 了 多 个 策略 设置 ， 将 遵循 以 下 
优先 级 顺序 《从 低 到 高 ): 


本 地 计算 机 策略 ; 
里 站 点 策略 ; 

里 域 策略 ; 

里 组 织 单位 策略 。 


所 有 策略 设置 在 重新 启动 计算 机 后 都 会 被 刷新 。 修 改 策略 设置 时 , 在 工作 站 或 服务 器 上 每 
90 分 钟 刷新 一 次 ， 而 在 域 控制 器 上 每 $ 分 钟 刷新 一 次 。 不 管 是 否 更 改 了 策略 设置 ， 它 们 都 会 
每 16 小 时 刷新 一 次 。 通过 先 运行 强制 刷新 组 策略 命令 gpupdate /force, 然后 注销 计算 机 并 重新 
登录 来 刷新 策略 设置 。 

软件 限制 策略 中 的 规则 标识 一 个 或 多 个 应 用 程序 ， 以 指定 是 否 允 许 其 运行 。 

软件 限制 策略 使 用 下 列 4 个 规则 来 标识 软件 : 

虽 哈 希 规则 : 使 用 可 执行 文件 的 加 密 密 铀 ; 

四 证 书 规则 : 用 软件 发 布 者 为 .exe 文件 提供 的 数字 签名 证 书 ; 

四 路 径 规则 : 使 用 .exe 文件 位 置 的 本 地 路 径 、 通 用 命名 约定 (UNC) 路 径 或 注册 表 路 径 ; 

四 区 域 规则 : 使 用 可 执行 文件 源 自 的 Internet 区 域 。 

使 用 软件 限制 策略 可 以 实现 以 下 目的 : 

@ 控制 软件 在 系统 中 的 运行 能 力 ; 

允许 用 户 在 多 用 户 计算 机 上 仅 运 行 特 定 文件 ; 

里 决定 可 以 在 计算 机 中 添加 信任 的 发 布 者 的 用 户 ; 

m 控制 软件 限制 策略 是 作用 于 所 有 用 户 ， 还 是 仅 作用 于 计算 机 上 的 某 些 用 户 ; 

四 阻止 任何 文件 在 本 地 计算 机 、 组 织 单位 、 站 点 或 域 中 运行 。 


6.4.2 部 署 基 本 策略 


Windows Server 2008 组 策略 中 提供 了 简单 的 软件 限制 策略 “不 要 运行 指定 的 Windows 应 
用 程序 ” 可 以 对 应 用 程序 进行 限制 。 


1. 策略 部 署 
限制 Default Domain Policy 中 的 用 户 使 用 QQ。 


和 1 打开 “组 策略 管理 ”窗口 ， 选 择 “ 林 : corp.contoso.com” 一 “corp.contoso.com” 一 “company” 选 
项 。 右 击 “company” 选 项 ， 在 弹出 的 快捷 菜单 中 选中 “在 这 个 域 中 创建 GP0 并 在 此 链接 ”命令 ， 显 
示 如 图 6.28 所 示 “ 新 建 GP0” 对 话 框 ， 在 “名 称 ” 文 本 框 中 输入 新 建 的 名 称 。 单 击 “ 确 定 ” 按 钮 ， 创 
建新 的 组 策略 对 象 。 
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0 2 右 击 “软件 限 制 策略 ”选项 ， 在 弹出 的 快捷 菜单 
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选择 “用 户 配置 ”一 “策略 ”一 “管理 模板 ”一 


EE ly 
ET [| 
Er ee | 


选择 “编辑 ”命令 ， 打 开 “ 组 策略 管理 编辑 器 ”窗口 。 依 次 
“系统 ”选项 ， 显 示 如 图 6.29 所 示 “ 系 统 设置 ”窗口 。 


可 


pp | 让 = | | 


源 Starter GPOG)- 


I® 可 


CE ]_w | 


图 6.28 “新 建 GP0” 对 话 框 


03 


图 6.29 


在 右 侧 窗 格 中 双击 “不 要 运行 指定 的 Windows 应 用 程序 ”选项 ， 显 示 如 


“系统 设置 ”窗口 


图 6.30 所 示 “ 不 要 运行 指定 的 


Windows 应 用 程序 属性 ”对 话 框 。 选 中 “已 启用 ” 单 选 按钮 ， 单 击 “ 显 示 ” 按 钮 显示“ 显示 内 容 ” 
对 话 框 。 单 击 “ 添 加 ”按钮 , 显示 “添加 项 目 ”对 话 框 , 在 “输入 要 添加 的 项 目 ”的 文本 框 中 输入 “qq.exe”。 


组 | 调 | 
[ee 应 用 程序 
RC) 
fF 已 自用 加 ) 
广 已 避 用 0) -- 
不 允许 应 用 程序 列表 记 味 .| 
不 允许 的 应 用 程序 列表 
mw | 
添加 失 ) 
刑 阶 记 ) 
NT EE > 
上 一 个 设置 个 ) 下 一 个 设置 输入 要 添加 8 项目 E) 确定 
ee 一 本 
a | enw | | 


图 6.30 设置 不 要 运行 的 Windows 应 用 程序 


04 依次 单 击 “确定 ”按钮 ， 保 存 设置 即 可 。 


2. 客户 端 测试 


在 客户 端 计算 机 上 ， 双 击 “qq2009.exe” 应 用 


程序 ， 显 示 如 图 6.31 所 示 “ 限 制 ” 对 话 框 。 


图 6.31 


“限制 ”窗口 


注意 ”如 果 应 用 程序 文件 改名 ， 那 么 该 限制 策略 将 失效 。 这 个 策略 仅 防止 用 户 运行 
9 Windows 资源 管理 器 启动 的 程序 ， 不 能 阻止 用 户 运行 系统 过 程 或 其 他 过 程 的 哪个 


程序 ， 如 任务 管理 器 。 
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Windows 


如 果 人 允许 用 户 访问 命令 提示 符 Cmd.exe, 那么 这 个 设置 不 能 阻止 用 户 在 命令 窗口 启动 该 策 
略 限制 的 应 用 程序 。 


6.4.3 ” 哈 希 规则 策略 


哈 希 值 是 根据 文件 内 容 的 数据 通过 逻辑 运算 得 到 的 数值 , 它 能 把 一 些 不 同 长 度 的 信息 转化 
为 杂乱 的 128 位 编码 ,是 一 种 加 密 算法 。 为 软件 指定 哈 希 规则 后 ,软件 限制 策略 会 自动 为 指定 
软件 计算 一 个 哈 希 值 ， 当 用 户 使 用 该 软件 时 , 客户 端 操 作 系 统 会 将 该 软件 的 哈 希 值 与 软件 限制 
策略 已 有 的 哈 希 值 进行 比较 ， 如 果 值 相同 则 该 软件 允许 运行 。 


01 在 “组 策略 管理 器 ”中 ， 依 次 展开 “计算 机 配置 ”一 “Windows 设置 ”一 “安全 设置 ”一 “软件 限制 


策略 ”， 右 击 “ 软 件 限制 策略 ”， 在 弹出 的 快捷 菜单 中 选择 “创建 软件 限制 策略 ”选项 如 图 6.32 所 示 “ 组 
策略 管理 编辑 器 ”窗口 。 


实 全 设置 
帖 户 各 于 
二 地 第 下 
龙 件 日 志 
到 多 
天 和 
注册 表 
又 件 有 及 


图 6.32 “组 策略 管理 编辑 器 ”窗口 


2 右 击 “ 其 他 规则 ”在 弹出 的 快捷 菜单 中 选择 “新 建 哈 希 规则 ”选项 ， 显 示 如 图 6.33 所 示 “ 新 建 哈 希 规 
则 ”对 话 框 。 单 击 “ 浏 览 ”按钮 ， 选 择 需要 限制 的 程序 ， 例 如 “QQ.exe”。 


图 6.33 新 建 哈 希 规则 
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03 单 击 “ 确 定 ” 按钮， 返回 


“新 建 哈 希 规则 ”对 话 框 ， 在 “安全 级 别 ” 下 拉 列 表 框 中 选择 “不 允许 的 ” 选 
项 ， 表 示 不 允许 运行 此 程序 ， 如 图 6.34 所 示 。 
04 单 击 “ 确 定 ” 按 钮 ， 完 成 该 策略 配置 ， 显 示 如 


图 6.35 所 示 “ 组 策略 管理 编辑 器 ”窗口 。 

| 

所 和 MA 安全 织 。 
生生 kh 
3 er een ei 

文件 信息 名 ) we Lok on oor Micr of Mindors\Currer, TR 

(1,24 562.0) -| 

机 

EDJw nl Hu | 

图 6.34 设置 完成 的 “新 建 哈 希 规则 ”对 话 框 


2. 客户 端 测试 
在 客户 端 计算 机 运行 QQ.exe 时 ， 显 示 如 图 6.36 所 示 “ 此 程序 被 组 策略 阻止 ”对 话 框 ， 表 
明 软 件 限制 策略 已 经 生效 。 


C:\Program 了 ilesVTenceat\Qg2009AEIRAOQ 站 


xl 
@ 此 程序 被 组 第 风 阻止 。 有 关 详细 信息 ， 请 与 系统 管理 员 联 系 。 


图 6.36 “此 程序 被 组 策略 阻止 ”对 话 框 


6.5 硬件 限制 策略 


现在 移动 存储 设备 越 来 越 普 及 ， 通 过 其 所 传播 的 病毒 ， 也 给 网 络 管理 员 带 来 新 的 难题 。 
Windows Server 2008 通过 组 策略 即 可 控制 对 移动 设备 的 访问 以 及 硬件 设备 的 安装 ， 从 而 阻止 
病毒 或 恶意 软件 通过 移动 存储 设备 传播 和 安装 。 
01 将 任意 U 盘 插入 计算 机 的 USB 接口 ， 打 开 “ 计 算 机 管理 ”一 “设备 管理 器 ”窗口 ， 展 开 “ 磁 盘 驱 动 器 ” 
选项 ， 显 示 如 图 6.37 所 示 窗 口 。 
02 右 击 U 瘟 对 应 的 


的 设备 名 称 ， 选 择 “ 属 性 ”选项 ， 在 打开 对 话 框 中 单 击 “ 详 细 信 息 ” 切换 至 如 
示 “ 详 细 信 息 ” 选 项 卡 。 在 “属性 ”下 拉 列 表 


图 6.38 所 


选择 “设备 类 GUID” 选 项 ， 在 “ 值 ”列表 中 ， 显 示 的 
就 是 U 盘 类 设备 对 应 的 GUID， 将 此 值 复制 到 粘贴 板 即 可 。 单 击 “ 确 定 ” 按 钮 关闭 对 话 框 。 
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EEEIE3 = 上品 对 
ETE- TRE 


和 申 为 下 | 日 | 日 瑟 | 息 | 如 各 量 
TE TT Fr Cp 
刁 介 I 有 诺 刘 pH 更 动 二 
导 @ 人 只 序 FE NANT 按司 必 性 中 
导 恒 志 但 看 入 5 es Faw 可 
导 症 共享 文件 去 Fm 起 
和 全 可 年 性 和 性 散 S| 车 
9 a 
外 大全 记念 存 鹿 浊 各 
1 壤 慑 务 和 应 用 程序 和 HT) 
己 府 过 
二 5/z 村 入 盾 芒 
肪 共 fei 音 
及 地 并 体 全 93 语 
元 过 开动 号 
元 吉 亚 动 汪 6 居 
必 标 和 址 他 档 入 设 每 
语 用 事 行 怠 硅 控制 芝 
和 网 到 
| CjJ_w | 
图 6.37 “计算 机 管理 ”窗口 6.38 “详细 信息 ”选项 卡 
03 在 组 策略 管理 器 窗口 中 ， 依 次 展开 “计算 机 配置 ”一 “管理 模板 ”一 “系统 ”一 “设备 安装 ”一 “设备 


安装 限制 ”分 支 ， 双 击 “ 阻 止 安装 与 下 列 任何 设备 ID 相 匹 配 的 设备 ”策略 ， 显 示 策 略 属性 对 话 框 ， 选 
择 “ 已 启用 ” 单 选 按钮 。 单 击 “ 显 示 ” 按 钮 ， 显 示 “ 显 示 内 容 ” 对 话 框 ， 默 认 此 列表 为 空白 。 单 击 “ 添 
加 ”按钮 ， 显 示 “ 添 加 项 目 ”对 话 框 ， 将 复制 到 粘贴 板 的 U 盘 类 设备 GUID， 粘 贴 到 “输入 要 添加 的 项 
目 ”文本 框 中 即 可 ， 如 图 6.39 所 示 。 


| 
Ed Bes -e511 ee fe1-08002Vel 0318] 
EE | 


图 6.39 设置 硬件 访问 控制 策略 


04 依次 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 由 于 以 上 策略 只 是 阻止 使 用 U 盘 类 设备 ， 所 以 应 用 此 策略 后 ， 
用 户 仍 可 以 将 U 盘 插 入 USB 接口 ， 并 且 系 统 会 自动 为 其 安装 驱动 程序 ， 但 是 在 资源 管理 器 中 打开 时 ， 
会 发 现 U 盘 对 应 的 可 用 磁盘 空间 为 0， 不 会 显示 任何 数据 。 


这 些 措施 , 并 不 能 从 根本 上 解决 核心 数据 的 安全 问题 。 恶意 用 户 仍然 可 以 通过 电子 邮件 发 

送 数据 ， 并 且 如 果 是 管理 员 的 话 ， 具备 工作 站 或 服务 器 的 物理 操作 权限 ， 则 盗 取 数 据 更 是 易 如 

反 掌 。 所 以 说 ， 最 完美 的 解决 方案 是 确保 核心 数据 的 访问 权限 ， 而 不 是 仅仅 依靠 组 策略 。 
注意 ， 如 果 在 应 用 设备 限制 策略 之 前 ， 用 户 已 经 将 移动 设备 安装 到 系统 中 , 则 不 能 阻止 用 
得 户 的 正常 应 用 ， 该 策略 会 在 用 户 取 下 设备 并 再 次 安装 移动 设备 时 生效 。 
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小 结 


本 节 主 要 在 域 环境 下 讲解 组 策略 安全 , 通过 组 策略 可 以 控制 应 用 程序 、 设置 系统 环境 和 管 
理 模板 ， 方 便 管理 员 对 企业 网 络 的 管理 ， 如 部 署 软件 、 设 置 硬件 访问 策略 、 定 制 用 户 环境 等 ， 
这 些 都 大 大 提高 了 网 络 的 安全 性 。 


习 题 


1. 组 策略 有 哪些 实用 功能 ? 

2. 系统 默认 的 组 策略 模板 有 哪些 ， 分 别 有 哪 些 功能 ? 
3. 计算 机 配置 策略 和 用 户 配置 策略 有 何 区 别 ? 

4. 本 地 安全 策略 和 组 策略 管理 编辑 器 有 何 区 别 ? 


实验 : 配置 用 户 帐 户 锁定 策略 


实验 目的 

掌握 如 何 通过 限制 用 户 登录 重 试 次 数 ， 保 护 系统 安全 。 

实验 内 容 

在 Windows Server 2008 域 控 制 器 的 默认 域 策略 中 ， 编 辑 帐户 锁定 策略 ， 用 户 登 录 时 重 试 
次 数 超过 3 次 即 被 锁定 。 

实验 步骤 


1. 打开 “组 策略 管理 编辑 器 ”窗口 ， 编 辑 默认 域 策略 。 
2. 编辑 帐户 锁定 策略 中 的 “帐户 锁定 阔 值 ”， 设 置 为 3。 
3. 使 用 测试 用 户 帐户 ， 验 证 策略 有 效 性 。 

4. 将 策略 应 用 到 所 有 域 用 户 。 
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第 f 章 


数据 存储 安全 


Internet 技术 及 其 相关 应 用 极 大 推动 了 信息 化 的 普及 ， 企 业 和 组 织 机 构 内 
为 信 息 系统 建设 已 初 具 规模 ， 包 括 企业 员工 的 PC、 服 务 器 到 数据 中 心 。 随 
而 来 网 络 中 大 量 数据 信息 的 安全 问题 ， 像 自然 灾害 、 硬 件 设备 故障 、 网 络 攻 
、 管 理 不 当 、 误 操作 等 都 可 能 导致 重要 信息 的 丢失 ， 随 时 可 能 使 企业 蒙受 巨 
风 经 济 损失 。 为 此 ， 各 种 安全 存储 技术 不 断 涌现 ， 一 场 没有 硝烟 的 数据 安全 
保卫 战 正在 展开 。 
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7.1 磁盘 配额 


在 Windows Server 2008 为 服务 器 操作 系统 的 计算 机 网 络 中 ， 系 统管 理 员 有 一 项 很 重要 的 
任务 , 即 用 户 设置 磁盘 配额 ,也 就 是 限制 其 使 用 服务 器 空间 数量 ,目的 在 于 防止 个 别 用 户 滥用 
服务 器 和 网 络 资源 ， 确 保 为 所 有 用 户 合理 分 配 服务 器 存储 空间 。 


7.1.1 磁盘 配额 的 功能 


磁盘 配额 管理 技术 ， 主 要 是 根据 网 络 管理 员 设 置 的 标准 ， 跟 踪 对 被 保护 卷 的 写 入 操作 ， 如 果 被 
保护 卷 达到 或 超过 了 设 定 级 别 ， 则 用 户 就 会 收 到 服务 器 自动 发 送 的 消息 ， 警 告 该 卷 已 经 接近 配额 ， 
或 者 磁盘 配额 管理 器 将 阻止 用 户 向 该 卷 写 入 数据 。 管 理 员 能 够 启用 磁盘 配额 ， 并 设置 两 个 值 : 


磁盘 配额 限度 。 用 于 指定 允许 用 户 使 用 的 磁盘 空间 容量 ; 
磁盘 配额 警告 级 别 。 指 定 了 用 户 接近 其 配额 限度 的 值 。 


在 Windows Server 2008 系统 中 ， 管 理 员 可 以 配置 当 用 户 超过 所 指定 的 磁盘 空间 限额 时 ， 
阻止 其 进一步 使 用 磁盘 空间 和 记录 事件 ,或 当 用 户 超过 指定 的 磁盘 空间 警告 级 别 时 , 记录 事件 。 
第 一 种 配置 情况 下 , 用 户 在 使 用 磁盘 时 如 果 超 过 指定 的 磁盘 空间 , 将 无 法 使 用 ; 第 二 种 情况 允 
许 用 户 超额 使 用 磁盘 ， 但 会 将 此 情况 记录 在 事件 中 。 

同时 可 以 指定 用 户 能 超过 其 配额 限度 。 如 果 不 想 拒绝 用 户 访问 卷 但 想 跟 踪 每 个 用 户 的 磁盘 
空间 使 用 情况 , 启用 配额 但 不 限制 磁盘 空间 使 用 将 非常 有 用 。 也 可 指定 不 管用 户 超过 配额 警告 
级 别 还 是 超过 配额 限度 时 是 否 记录 事件 。 

启用 卷 的 磁盘 配额 时 ,磁盘 配额 不 应 用 到 现 有 的 卷 用 户 上 。 可 以 通过 在 “配额 项 目 ”窗口 
中 添加 新 的 配额 项 目 将 磁盘 空间 配额 应 用 到 现 有 的 卷 用 户 上 。 

由 于 磁盘 配额 能 够 监视 单个 用 户 的 卷 使 用 情况 ， 因 此 每 个 用 户 对 磁盘 空间 的 利用 都 不 会 影响 
同一 卷 上 的 其 他 用 户 的 磁盘 配额 。 在 用 户 看 来 与 在 一 个 独立 的 磁盘 卷 中 进行 操作 没什么 两 样 。 

要 支持 磁盘 配额 , 磁盘 卷 必须 使 用 NTFS 文件 系统 格式 化 , 且 不 受 卷 中 用 户 文件 的 文件 夹 
位 置 的 限制 。 


7.1.2 ”磁盘 配额 管理 


如 果 要 在 已 经 使 用 的 磁盘 中 启用 磁盘 配额 功能 ，Windows Server 2008 将 计算 到 启动 时 间 
点 为 止 , 在 该 卷 中 复制 文件 、 保 存 文件 或 取得 文件 所 有 权 的 所 有 用 户 ,使 用 的 磁盘 空间 。 根据 
统计 结果 ， 自 动 为 每 个 用 户 设置 配额 限度 和 警告 级 别 。 当 然 , 管理 员 可 以 为 某 个 或 多 个 用 户 设 
置 不 同 的 配额 或 禁用 配额 。 另外 ,也 可 以 为 还 没有 在 卷 上 复制 文件 、 保存 文件 或 取得 文件 所 有 
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权 的 用 户 设置 磁盘 配额 ， 或 者 在 一 个 新 创建 的 卷 上 启用 磁盘 配额 功能 。 
使 用 磁盘 配额 过 程 中 ， 应 注意 以 下 2 个 方面 : 
m 驱动 器 的 文件 格式 必须 为 NTFS 文件 系统 格式 。 如 果 驱 动 器 的 磁盘 格式 为 FAT32 文件 
系统 , 可 以 使 用 Windows Server 2003/2008 提供 的 文件 系统 转换 工具 Convert 进行 转换 ; 
到 必须 以 管理 员 或 管理 员 组 成 员 的 身份 登录 到 Windows 系统 。 


在 文件 服务 器 上 选中 “为 此 服务 器 的 新 用 户 设置 默认 磁盘 空间 配额 " 复 选 框 ,在 “将 磁盘 
空间 限制 为 ”和 “将 警告 级 别 设置 为 ”文本 框 中 ， 输 入 适当 的 数值 ， 使 用 户 只 能 使 用 规定 数额 
的 磁盘 空间 ， 从 而 避免 服务 器 硬盘 的 滥用 。 当 用 户 使 用 的 空间 达到 指定 的 警告 值 时 ， 系 统 将 提 
示 用 户 磁盘 空间 剩余 值 。 当 用 户 使 用 的 空间 达到 规定 的 磁盘 限额 时 , 系统 将 禁止 用 户 再 向 服务 
器 写 入 文件 ， 从 而 确保 服务 器 硬盘 空间 被 合理 、 公 平 的 使 用 。 


1. 启动 磁盘 限额 
在 默认 的 情况 下 ， 磁 盘 配 额 是 没有 启用 的 。 启 动 磁盘 配额 的 操作 步 又 如 下 : 

01 在 Windows 资源 管理 中 ， 右 十“ 本 地 训 生 D+” 二 从 寺 PETE 寺 e 
项 ,选择 快捷 菜单 中 的 “属性 ”命令 ， 显 示 “ 本 地 磁盘 (D; | 
属性 ”对 话 框 ， 切 换 到 如 图 7.1 所 示 “ 配 额 ” 选项 卡 ,选中 。 | 蓝 她 Wawa 
“启用 配额 管理 ” 复 选 框 ， 即 可 启用 磁盘 配额 管理 。 选 择 人 
中 相应 的 各 个 选项 ， 以 配置 系统 的 磁盘 配额 功能 : 可 
。 选中 “拒绝 将 磁 检 空间 给 起 过 配额 限制 的 用 户 ” 复 。 Pe pss 加 | 记 

选 框 ， 超 过 其 配额 限制 的 用 户 ,将 收 到 来 自 | 
Windows 的 “磁盘 空间 不 足 ”的 错误 信息 ,并且 在 Pi 
没有 从 中 删除 和 移动 一 些 现存 文件 的 情况 下 , 无 法 ee 
将 额外 的 数据 写 入 卷 中 。 如 果 取 消 该 复 选 框 , 则 用 Li 


户 可 以 超过 其 配额 限制 ; 

选中 “将 磁盘 空间 限制 为 ” 单 选 按钮 ， 并 输入 多 
许 卷 的 新 用 户 使 用 的 磁盘 空间 数量 ,以 及 在 将 事件 
写 入 系统 日 志 前 已 经 使 用 的 磁盘 空间 量 。 网 络 管理 图 7.1 “配额 ”选项 上 

员 可 以 在 “事件 查看 器 ”中 查看 这 些 事件 。 在 磁盘 空间 和 警告 级 别 中 可 以 使 用 十 进 制 数 
值 ， 从 下 拉 列表 中 选择 适当 的 单位 (如 KB、MB、GB 等 ) ; 

选中 “用 户 超出 配额 限制 时 记录 事件 ” 复 选 框 。 此 时 如 果 启用 配额 ， 则 只 要 用 户 超过 其 
配额 限 制 ， 事 件 就 会 写 入 到 本 地 计算 机 的 系统 日 志 中 。 管 理 员 可 以 用 “事件 查看 器 ”， 
通过 入选 磁盘 事件 类 型 来 查看 这 些 事件 。 默认 情况 下 , 配额 事件 每 小 时 都 会 被 写 入 本 地 
计算 机 的 系统 日 志 中 ; 

选中 “用 户 超过 警告 等 级 时 记录 事件 ” 复 选 框 。 此 时 如 果 启用 配额 ， 则 只 要 用 户 超过 其 
警告 级 别 ， 事 件 就 会 写 入 到 本 地 计算 机 的 系统 日 志 中 。 管理 员 可 以 用 事件 查看 器 ， 通 过 
镁 选 磁盘 事件 类 型 来 查看 这 些 事件 。 默 认 情况 下 , 配额 事件 每 小 时 都 会 被 写 入 本 地 计算 
机 的 系统 日 志 中 。 


Cj] ww | mw 


168 


02 单 击 “ 确 定 ”按钮 ， 保 存 所 做 设置 ， 启 用 磁盘 配额 完成 。 
0 3 启用 磁盘 配额 管理 后 ， 所 有 的 用 户 都 使 用 磁盘 配额 启动 时 设置 的 默认 配额 限制 和 配额 警告 级 别 。 使 用 配 
额 项 目 管理 可 以 为 每 一 个 用 户 设置 适合 的 磁盘 配额 ， 对 用 户 的 磁盘 配额 设置 进行 维护 ， 并且 可 以 记录 每 


一 个 用 户 对 磁盘 空间 的 使 用 情况 。 


2. 为 特定 的 用 户 制定 磁盘 配额 
若 让 某 一 个 用 户 使 用 更 多 的 空间 ， 可 以 为 该 用 户 单独 制定 更 大 的 磁盘 配额 。 


01 在 “本 地 磁盘 (D:) 属性 ”对 话 框 中 , 选择 “ 配 02 选择 “配额 ”下 拉 菜 单 中 的 “新 建 配额 项 ” 命 
额 ”选项 卡 ， 单 击 “ 配 额 项 ”按钮 ， 显 示 如 图 7.2” 令 ， 显 示 “ 选 择 用 户 ” 对 话 框 。 在 “选择 此 对 象 类 
所 示 “ 配 额 项 ”窗口 。 型 ” 栏 中 显示 当前 的 对 象 类 型 为 用 户 ， 可 采用 系统 


的 默认 值 。 在 “输入 对 象 名 称 来 选择 ”文本 框 中 ， 
输入 要 设置 配额 的 用 户 名 称 ， 如 图 7.3 所 示 。 


图 7.2 “(D:) 的 配额 项 ”窗口 


3 单 击 “ 确 定 ” 按 钮 ， 显 示 如 图 7.4 所 示 “ 添 
加 新 配额 项 ”对 话 框 。 选 中 “将 磁盘 空间 限制 为 ” 
单 选 按钮 ， 并 在 其 后 文本 框 中 为 该 用 户 设置 访问 
磁盘 的 空间 。 

04 单 击 “ 确 定 ” 按 钮 ,保存 用 户 的 磁盘 配额 设置 ， 
返回 到 “(D: ) 的 配额 项 ”窗口 ,可 以 看 到 新 创建 的 
用 户 “Guest” 配 额 项 显示 在 列表 框 中 。 


如 果 想 删除 指定 用 户 的 配额 项 ， 则 可 以 右 击 用 户 名 并 选择 快捷 菜单 中 的 “删除 ” 选项。 使 
用 指定 配额 项 具有 以 下 优点 : 


里 登录 到 相同 计算 机 的 多 个 用 户 之 间 互 不 影响 ; 
里 一 个 或 多 个 用 户 不 独占 公用 服务 器 上 的 磁盘 空间 ; 
在 个 人 计算 机 的 共享 文件 夹 中 ， 用 户 不 使 用 过 多 的 磁盘 空间 。 
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7.1.3 ”监控 每 个 用 户 的 磁盘 配额 使 用 情况 


为 用 户 设置 好 磁盘 配额 以 后 ,除了 可 以 借助 “日 志 查看 器 ”浏览 磁盘 占用 情况 外 ， 在 配额 
项 窗口 中 , 也 可 以 监视 每 个 用 户 的 磁盘 配额 使 用 情况 , 并 可 单独 设置 每 个 用 户 可 使 用 的 磁盘 空 
间 。 若 想 更 改 某 用户 的 磁盘 配额 设置 ， 可 以 在 “配额 项 ”窗口 中 双击 该 用 户 ， 显 示 如 图 7.5 所 


人 不 限制 汶 盘 使 用 0) 
1] | 天 天 可 习 
将 警告 等 级 设 为 采 柯 习 


图 7.5 配额 设置 对 话 杠 


7.2 数据 备份 与 恢复 


无 论 怎样 稳固 的 系统 ,都 有 可 能 遇 到 意外 ,都 有 可 能 月 江 ,数据 的 备份 与 恢复 便 成 了 安全 
管理 的 重要 课题 。 


7.2.1 Windows Server Backup 


Windows Server Backup 是 Windows Server 2008 系统 的 新 增 功能 之 一 , 取代 了 原 Windows 
系统 中 的 备份 工具 (Ntbackup.exe )。Windows Server Backup 可 以 为 用 户 的 日 常备 份 和 恢复 提 
供 更 为 完整 的 方案 和 计划 ， 既 可 以 备份 整个 服务 器 〈 所 有 卷 ) 的 数据 ， 也 可 以 只 备份 用 户 选择 
的 卷 或 状态 信息 ， 非 常 方便 。 

相对 先前 Windows 系统 中 的 备份 和 还 原 工 具 ，Windows Server Backup 包括 如 下 改进 : 

昌 速度 更 快 。Windows Server Backup 使 用 VSS (Volume Shadow Copy Service， 卷 影 复 

制服 务 ) 和 增 量 备份 技术 ， 对 系统 数据 和 服务 器 数据 进行 备份 。 用 户 只 需 第 一 次 创 
建 一 个 完整 的 备份 ， 接 下 来 只 需 执 行 增 量 备份 即 可 快速 完成 完整 备份 ， 所 需 时 间 更 
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少 ， 效 率 更 高 ; 


四 操作 简单 。 无 论 是 数据 库 备份 、 还 原 还 是 制定 备份 计划 ,完全 在 向 导 指 引 下 完成 ,操作 
更 加 简便 。 另 外, 用 户 还 可 以 从 备份 中 选择 需要 恢复 的 单个 项 目 进行 操作 ,而 不 必 进 行 
全 面 恢复 ， 既 节约 时 间 又 可 以 避免 不 必要 的 数据 材 盖 ; 

昌 系统 恢复 更 简单 。Windows Server Backup 与 新 的 Windows 恢复 工具 配合 使 用 ， 使 操作 
系统 恢复 更 加 简单 ， 而 且 还 可 以 使 用 副本 对 其 他 类 似 硬 件 配 置 的 服务 器 进行 系统 恢复 
(通常 为 未 安装 任何 系统 的 全 新 计算 机 ) ; 

四 恢复 应 用 程序 。Windows Server Backup 可 以 使 用 内 置 到 应 用 程序 中 的 VSS 功能 来 保护 
应 用 程序 数据 ; 

@ 非 现场 删除 备份 以 便 进 行 灾难 保护 。Windows Server Backup 可 以 将 备份 轮流 保存 到 多 
个 磁盘 中 , 这 样 使 管理 员 可 以 在 非 现 场 位置 移 动 磁 盘 , 将 每 个 磁盘 添加 为 一 个 计划 备份 
的 位 置 ， 如 果 第 一 个 磁盘 不 在 现场 ， 则 Windows Server Backup 会 自动 将 备份 顺序 保存 
到 下 一 个 磁盘 中 ; 

昌 远程 管理 。Windows Server Backup 是 基于 MMC 控制 台 的 ， 管 理 员 可 以 轻松 连接 至 另 
一 台 远 程 计算 机 上 ， 实 现 远程 控制 ; 

日 自动 磁盘 使 用 情况 管理 。 在 实施 备份 计划 时 ，Windows Server Backup 会 自动 检查 磁极 
的 使 用 情况 ， 如 果 剩 余 空间 不 足 ， 将 自动 重复 使 用 陈旧 备份 的 空间 ; 

里 扩展 命令 行 支持 。Windows Server Backup 包含 Wbadmin 命令 和 文档 ， 管 理 员 可 以 在 命 
令 提示 符 窗口 中 执行 备份 和 恢复 任务 ; 

四 支持 可 移动 储 介质 。Windows Server Backup 允许 管理 员 通 过 手动 方式 ， 将 卷 直 接 备 份 
到 光盘 或 其 他 可 移动 存储 介质 上 。 


提示 “有 关 Windows Server Backup 安装 的 介绍 ， 请 参考 本 书 “ 第 4 章 活动 目录 安全 ”中 
S 衣 的 相关 内 容 ， 此 处 不 复 赣 述 。 


7.2.2 ”磁盘 备份 


“备份 ”并 不 难 理解 ， 主 要 用 于 不 时 之 需 。 例 如 ， 开 车 出 门 会 带 备 胎 ; 长 时 间 出 差 要 给 手 
机 带 备 用 电池 等 。 数 据 备份 ， 则 是 指 在 数据 完好 的 情况 下 ， 对 数据 状态 进行 完整 的 拷贝 。 当 数 
据 丢失 或 损毁 时 ， 可 以 使 用 拷贝 恢复 到 先前 的 完好 状态 。 在 Windows Server 2008 系统 中 ， 管 
理 员 可 以 使 用 Windows Server Backup 对 磁盘 数据 进行 备份 。 


1 在 windows Server Backup 窗口 中 ， 单 击 “ 一 次 性 备份 ”链接 ， 显 示 如 图 7.6 所 示 “ 一 次 性 备份 向 导 ” 
对 话 框 ， 依 次 单 击 “ 下 一 步 ” 按钮 ， 设 置 备 份 选项 、 配 置 和 目标 类 型 ， 在 “备份 选项 ”对 话 框 中 选中 “不 
同 选项 ” 单 选 按钮 。 在 “选择 备份 配置 ”对 话 框 中 ,选中 “整个 服务 器 ” 单 选 按 钮 。 在 “指定 目标 类 型 ” 
对 话 框 中 ， 选 中 “本 地 驱动 器 ” 单 选 按钮 。 
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图 7.6 设置 备份 选项 、 配 置 和 目标 类 型 


02 依次 单 击 “下 一 步 ” 按 钮 ， 设 置 备份 目标 和 其 他 高 级 选项 ， 直 至 备份 完成 ， 如 


图 


7.7 所 示 。 在 “选择 备 


份 目标 ”对 话 框 中 的 “备份 目标 ”下 拉 列 表 中 ， 选 择 “ 本 地 磁盘 (E:) ” 选项 。“ 指 定 高 级 选项 ”对 话 框 ， 


选中 “VSS 副本 备份 (推荐 ) ” 单 选 按钮 。 
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7.2.3 使 用 Windows Server Backup 恢复 磁盘 数据 


如 果 在 数据 完好 状态 下 进行 了 磁盘 备份 ， 当 出 现 磁盘 故障 或 数据 错误 时 ， 可 以 使 


Windows Server Backup 中 的 恢复 向 导 ， 从 备份 中 恢复 磁盘 数据 。 


一 “Windows Server Backup” 命 令 ， 打 开 “Windows Server Backup” 


窗口 。 单 击 “ 操 作 ”选项 区 域 中 的 “恢复 ”链接 ， 显 示 “ 恢 复 向 导 ” 对 话 框 。 提 示 选 择 要 从 哪个 备份 恢 


复 服务 器 数据 ， 既 可 以 使 用 本 地 计算 机 中 存储 的 备份 ， 也 可 以 使 用 远程 计算 机 共享 该 服务 器 备份 ， 这 里 
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单 选 按钮 。 


以 继续 在 “时 间 ” 
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选择 “此 服务 器 ” 单 选 按钮 。 如 果 要 从 另 一 全 服务 器 上 的 备份 恢复 服务 器 ， 则 可 以 选择 “ 另 一 个 服务 器 ” 


单 击 “ 下 一 步 ”按钮 ， 在 日 期 列表 中 选择 备份 的 日 期 ， 如 果 同一 天 中 保存 了 多 个 备份 ， 则 可 


F 拉 列表 中 选择 不 同 的 时 间 ， 如 图 7.8 所 示 。 


名 


BL) LT WE [2 


图 7.8 选择 备份 日 


0 2 依次 单 击 “ 下 一 步 ” 按钮 ， 选 择 恢复 类 型 和 目标 卷 ， 在 “选择 恢复 类 型 ”对 话 框 中 ， 选 择 “文件 和 文件 


夹 ” 单 选 按钮 ， 可 以 根据 需要 选择 要 恢复 的 文件 或 文件 来 


件 夹 ， 应 月 


的 数据 ， 操 作 的 前 提 是 备份 中 包括 文件 和 文 


程序 恢复 也 是 如 此 ;选择 “ 卷 ” 单 选 按钮 ， 则 将 恢复 指定 的 磁盘 分 区 。 这 里 选择 “ 卷 ” 单 选 


按钮 ， 如 图 


需要 恢复 到 


7.9 所 示 ， 在 “选择 卷 ”对 话 框 中 选中 备份 


的 卷 。 单 击 “ 下 一 步 ”按钮 ， 提 示 恢 复 卷 后 将 出 现 的 问题 。 
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图 7.9 选择 恢复 类 型 和 目标 郑 


h 需 要 恢复 的 卷 ， 在 “目标 卷 ”下 拉 列 表 中 选择 


03 单 击 “ 是 ” 按钮， 显示“ 确认 ”对 话 框 。 如 果 前 面 有 漏 选 的 需要 恢复 的 项 目 ， 则 可 以 单 击 “ 上 一 步 ” 按 


钮 返回 修改 。 单 击 “恢复 ”按钮 ， 即 可 姑 


F 始 恢复 。 根 据 恢复 数据 量 的 大 小 ， 所 需 的 时 间 会 有 所 不 同 ， 如 


果 源 数据 位 于 远程 计算 机 上 ， 则 恢复 时 间 还 取决 于 网 络 传输 速度 的 限制 ， 如 图 7.10 所 示 。 恢 复 完成 后 
单 击 “ 关 闭 ” 按 钮 ， 退 出 向 导 即 可 。 
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7.2.4 使 用 卷 影 副本 实现 磁盘 数据 恢复 


在 Windows Server 2008 系统 环境 中 ， 借 助 卷 影 副本 功能 可 以 为 服务 器 中 的 共享 文件 夹 创 
建 即时 点 副本 , 一 旦 发 生 共享 资源 被 用 户 误 删除 或 误 修改 现象 时 , 可 以 尝试 访问 对 应 时 间 点 的 
共享 文件 夹 副 本 ， 将 特定 时 间 点 的 共享 内 容 恢复 到 误 删除 或 误 修 改 操作 之 前 的 状态 。 


1. 启动 卷 影 副本 


要 让 Windows Server 2008 服务 器 系统 中 的 共享 文件 夹 “ 时 光 倒 流 ”首先 需要 针对 该 目标 
共享 文件 夹 启用 卷 影 副本 功能 。 在 进行 这 种 操作 时 ,必须 先 以 特权 账号 登录 到 Windows Server 
2008 服务 器 系统 桌面 。 


0 1 依次 选择 “开始 ”一 “所 有 程序 ”一 “附件 ”一 “Windows 资源 管理 器 ”命令 ， 在 打开 的 窗口 中 找到 保 
存 目 标 共享 文件 夹 的 磁盘 分 区 ， 右 击 该 磁盘 分 区 选项 ， 在 快捷 菜单 中 选择 “属性 ”选项 ， 显 示 如 图 7.11 
所 示 “ 本 地 磁盘 (D: ) 属性 ”对 话 框 ， 切 换 至 “ 卷 影 副 本 ”选项 卡 。 

02 选择 要 保存 目标 共享 文件 夹 的 磁盘 卷 ， 单 击 “ 启 用 ”按钮 ， 显 示 如 图 7.12 所 示 “ 启 用 卷 影 复制 ”对 话 
框 ， 单 击 “ 是 ”按钮 ， 完 成 设置 后 ，Windows Server 2008 服务 器 系统 就 能 自动 按照 默认 设置 启用 目标 
共享 文件 夹 的 卷 影 拷贝 功能 。 
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< 本 地 磁盘 0:) 属性 x 


党 内 | IR | 硬件 |# | 去 | 
| wi 的 本 | 本 本 | 自主 


2. 计划 日 程 安排 


打开 “本 地 磁盘 〈D: ) 属性 ”对 话 框 ， 单 击 “ 设 置 ”按钮 ， 显 示 “ 设 置 ”对 话 框 ， 在 这 
里 对 运行 计划 参数 、 最 大 值 参数 、 存 储 区 域 参数 等 进行 有 针对 性 设置 。 用 户 可 以 根据 实际 工作 
要 求 创建 日 程 安排 ， 单 击 “ 计 划 ” 按 钮 ， 显 示 如 图 7.13 所 示 “ 日 程 安排 ”对 话 框 。 用 户 可 以 
依照 实际 情况 来 定义 创建 即时 点 卷 影 副 本 的 操作 时 间 。 最 后 单 击 “ 确 定 ”按钮 保存 设置 即 可 。 
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图 7.13 设置 计划 日 程 安排 
3. 配置 卷 影 副 本 
Windows Server 2008 服务 器 系统 在 缺 省 状态 下 会 自动 将 即时 点 卷 影 副 本 保存 在 与 目标 共 


享 资源 相同 的 磁盘 分 区 中 ， 然 而 在 同一 个 磁盘 分 区 中 ， 不 利于 连续 保存 多 个 即时 点 卷 影 副 本 ， 
为 此 可 以 执行 如 下 操作 : 
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设 和 卫 语 | 捕 员 叶 
卷 中 ; 
了 区 
存 铺 区 域 
0 1 打开 “本 地 磁盘 (D:) 属性 ” 对话 框 , 单 击 “ 设 证 电 wo- 
置 ” 按钮， 显示 如 图 7.14 所 示 “ 设 置 ”对话 
EE (。 借用 限制 吊 ] 2000 雪 师 
框 ， 在 “存储 区 域 ” 位 置 处 ,， 选择 即时 点 卷 影 a 
副本 的 存储 位 置 ， 如 “E:\” 通常 应 选择 目标 
共享 文件 夹 所 在 分 区 之 外 的 其 他 磁盘 分 区 。 Li | 
0 2 单 击 “ 确 定 ”按钮 , 即 可 完成 卷 影 副本 设置 任务 。 BA AH 
CJ _W | 


图 7.14 “设置 ”对 话 框 
提示 只 有 在 任何 一 个 即时 点 卷 影 副本 都 还 没有 成 功 创建 的 时 候 , 才 可 以 对 它 的 存储 位 置 
脖 进行 调整 ; 如 果 已 经 有 即时 点 卷 影 副本 存在 时 ,应 该 先 将 目标 磁盘 分 区 中 的 所 有 即 
时 点 卷 影 副本 全 部 删除 掉 ， 才 可 以 修改 即时 点 卷 影 副 本 的 存储 位 置 。 


完成 卷 影 拷贝 功能 的 启用 、 配 置 操作 后 ， 从 局 域 网 的 普通 工作 站 中 打开 服务 器 系统 ， 右 击 
目标 共享 文件 夹 ， 在 弹出 的 快捷 菜单 中 可 以 看 到 “还 原 以 前 的 版 本 ”选项 ， 如 图 7.15 所 示 。 
这 就 表示 在 对 应 的 功能 页 面 中 ， 能 够 实现 共享 资源 “时 光 倒 流 ” 的 目的 。 


GO 


了 外 让 IRT IT 


图 7.15 “还 原 以 前 的 版 本 ”选项 
4. 管理 副本 


在 Windows Server 2008 服务 器 系统 工作 一 段 时 间 之 后 ， 或 许 已 经 在 其 中 创建 了 很 多 个 即 
时 点 卷 影 副本 , 为 了 便于 以 后 可 以 快速 找到 误 删除 操作 之 前 的 那个 即时 点 卷 影 副 本 , 我 们 必须 
对 服务 器 系统 中 的 每 一 个 即时 点 卷 影 副 本 进行 合适 的 管理 操作 。 
依次 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ” 选项， 打开 “服务 器 管理 器 ”窗口 。 
在 左 侧 窗口 中 依次 选择 “存储 ”一 “磁盘 管理 ”选项 。 右 击 “ 磁 盘 管理 ”选项 ， 在 弹出 的 快捷 
菜单 中 选择 “所 有 任务 ”一 “配置 卷 影 副本 ”选项 ， 显 示 如 图 7.16 所 示 “ 卷 影 副 本 ”对 话 框 ， 
可 以 在 该 设置 窗口 中 依照 实际 情况 将 比较 陈旧 的 即时 点 卷 影 副本 删除 掉 , 也 可 以 重新 创建 一 个 
新 的 即时 点 卷 影 副本 ， 甚 至 还 能 将 某 个 目标 磁盘 卷 恢复 到 一 个 指定 即时 点 卷 影 副 本 上 。 
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图 7.16 “ 卷 影 副 本 ”对 话 框 
7.3 软件 RAID 


软件 RAID 是 指 包 含 在 操作 系统 中 ,RAID 功能 用 软件 方式 由 系统 的 核心 磁盘 代码 来 实现 ， 
完全 基于 操作 系统 。Windows Server 2003 和 Windows Server 2008 均 可 以 实现 软件 RAID， 常 
用 的 RAID 级 别 包括 RAID 0、RAID 1 及 RAID 5。 软 件 RAID 必须 在 多 磁盘 系统 中 才能 实现 。 
实现 RAID 1 最 少 要 拥有 2 块 硬盘 ， 实 现 RAID 5 最 少 要 拥有 3 块 硬盘 。 通 常情 况 下 ， 操 作 系 
统 所 在 磁盘 采用 RAID 1， 而 数据 所 在 磁盘 采用 RAID 5。 


7.3.1 初步 认识 磁盘 


想 要 正确 理解 和 执行 磁盘 管理 功能 , 先 要 从 一 些 基本 却 很 重要 的 专业 术语 开始 , 其 中 包括 
实现 软件 RAID 所 需 的 磁盘 类 型 、 文 件 格式 以 及 磁盘 管理 方式 等 。 


1. 基本 磁盘 

基本 磁盘 是 指 人 允许 操作 系统 直接 访问 的 物理 磁盘 。 基 本 磁盘 可 包含 4 个 主 磁盘 分 区 , 或 3 
个 主 磁盘 分 区 加 1 个 具有 多 个 驱动 器 的 扩展 磁盘 分 区 。 如 果 要 创建 跨越 多 个 磁盘 的 分 区 , 必须 
先 利用 “磁盘 管理 ”或 Diskpart.exe 命令 行 工具 将 基本 磁盘 转换 为 动态 磁盘 。 

2. 动态 磁盘 

动态 磁盘 是 提供 基本 磁盘 不 能 提供 的 功能 的 物理 磁盘 , 例如 对 跨 多 个 磁盘 的 卷 的 支持 。 动 
态 磁盘 使 用 一 个 隐藏 的 数据 库 来 跟踪 有 关 本 磁盘 和 计算 机 中 其 他 动态 磁盘 上 的 动态 卷 的 信息 。 
可 以 使 用 “磁盘 管理 ”控制 台 或 Diskpart.exe 命令 行 工具 将 基本 磁盘 转换 为 动态 磁盘 。 如 果 将 

个 基本 磁盘 转换 为 动态 磁盘 ， 所 有 现 有 基本 卷 都 将 变 为 动态 卷 。 

3. 分 区 

分 区 是 基本 磁盘 类 型 中 的 术语 , 它 是 能 像 物理 上 独立 磁盘 那样 工作 的 物理 磁盘 部 分 。 创 建 
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分 区 后 , 将 数据 存储 在 该 分 区 之 前 必须 将 其 格式 化 并 指派 驱动 器 号 。 在 基本 磁盘 上 , 分 区 被 称 
为 基本 卷 ， 它 包含 主要 分 区 和 你 辑 驱动 器 。 在 动态 磁盘 上 ， 分 区 称 为 动态 卷 ， 它 包含 简单 卷 、 
带 区 卷 、 镜 像 卷 和 RAID 5 卷 。 


4. 卷 

卷 通常 是 动态 磁盘 类 型 中 的 术语 , 与 基本 磁盘 中 的 分 区 类 似 , 也 是 硬盘 上 的 存储 区 域 。 使 
用 一 种 文件 系统 可 以 格式 化 卷 ， 并 给 卷 指派 一 个 驱动 器 号 。 单 击 “Windows 资源 管理 器 ”或 
“计算 机 ” 中 某 个 卷 的 图 标 可 以 查看 该 卷 的 内 容 。 一 个 硬盘 可 以 有 多 个 卷 ,一 个 卷 可 以 跨越 多 
个 磁盘 。 

5. 基本 卷 

基本 卷 是 驻 留 在 基本 磁盘 上 的 主 磁盘 分 区 或 逻辑 驱动 器 。 

6. 动态 郑 

动态 卷 是 驻 留 在 动态 磁盘 上 的 卷 。Windows 系统 支持 5 种 类 型 的 动态 卷 ; 简单 卷 、 跨 区 
卷 、 带 区 卷 、 镜 像 卷 和 RAID 5 卷 。 动 态 卷 通过 使 用 文件 系统 来 格式 化 ， 并 有 一 个 分 配给 它 的 
驱动 器 号 。 

7. 主 启动 记录 (MBR) 

主 启动 记录 是 硬盘 上 的 第 一 个 户 区 ， 启 动 计算 机 的 过 程 就 是 从 这 里 开始 的 。MBR 包含 磁 
盘 的 分 区 表 和 称 作 “ 主 引导 代码 ”的 少量 可 执行 代码 。 

8. 主 磁盘 分 区 

主 磁盘 分 区 是 在 基本 磁盘 上 创建 的 一 种 分 区 类 型 。 主 磁盘 分 区 是 物理 磁盘 的 一 部 分 , 它 像 
物理 上 独立 磁盘 那样 工作 。 对 于 基本 主 启动 记录 磁盘 , 在 一 个 基本 磁盘 上 最 多 可 以 创建 4 个 主 
磁盘 分 区 , 或 者 3 个 主 磁盘 分 区 和 1 个 有 多 个 逻辑 驱动 器 的 扩展 磁盘 分 区 。 对 于 GUID 分 区 表 
磁盘 ， 最 多 可 创建 128 个 主 磁盘 分 区 ， 也 称 为 “ 卷 ”。 

9. 扩展 磁盘 分 区 

扩展 磁盘 分 区 是 一 种 分 区 类 型 ， 只 可 以 在 基本 的 主 启动 记录 磁盘 上 创建 。 如 果 想 在 基本 的 
MBR 磁盘 上 创建 4 个 以 上 的 卷 ,扩展 磁盘 分 区 将 非常 有 用 。 与 主 磁盘 分 区 不 同 的 是 ,不 需要 用 文 
件 系统 格式 化 扩展 磁盘 分 区 ， 然 后 给 它 指派 一 个 驱动 器 号 。 相 反 ， 可 以 在 扩展 磁盘 分 区 中 创建 一 
个 或 多 个 逻辑 驱动 器 。 创 建 逻辑 驱动 器 之 后 ,再 将 其 格式 化 并 为 其 指派 一 个 驱动 器 号 。 一 个 MBR 
磁盘 可 以 包含 最 多 4 个 主 磁盘 分 区 ， 或 3 个 主 磁盘 分 区 、1 个 扩展 磁盘 分 区 和 多 个 逻辑 驱动 器 。 

10. 系统 分 区 

系统 分 区 是 包含 加 载 Windows 系统 所 需 的 硬件 特定 文件 的 分 区 。 系 统 分 区 可 以 与 启动 分 
区 相同 ， 如 启动 分 区 都 是 磁盘 的 第 一 个 分 区 ， 分 区 符号 为 “C”， 而 安装 Windows 系统 时 可 以 
安装 在 任何 分 区 或 逻辑 驱动 器 上 ， 如 通常 所 说 的 “D”、“E” 盘 。 
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7.3.2 准备 动态 磁盘 


RAID 对 磁盘 要 求 比较 严格 ， 必 须 选 用 相同 品牌 、 型 号 和 容量 的 磁盘 来 组 建 RAID。 同 时 ， 
组 建 RAID 之 前 必须 先 将 基本 磁盘 转换 为 动态 磁盘 。 


0 1 依次 选择 “开始 ”一 “管理 工具 ”一 “计算 机 管理 ”一 “存储 ”一 “磁盘 管理 ”命令 ， 显 示 计 算 机 中 安 
装 的 所 有 磁盘 。 右 击 要 设置 为 动态 磁盘 的 硬盘 ， 在 快捷 菜单 中 选择 “转换 到 动态 磁盘 ”命令 ， 显 示 如 图 
7.17 所 示 “ 转 换 为 动态 磁盘 ”对 话 框 。 

2 单 击 “确定” 按钮， 显示 如 图 7.18 所 示 “ 要 转换 的 磁盘 ”对 话 框 ， 要 求 用 户 对 要 升级 为 动态 磁盘 的 硬盘 
进行 确认 。 因 为 该 操作 是 不 可 逆 的 , 即 基本 磁盘 可 以 升级 为 动态 磁盘 , 但 动态 磁盘 却 不 能 降级 为 基本 磁盘 。 


图 7.17 选择 需要 转换 为 动态 磁盘 的 基本 磁盘 图 7.18“ 要 转换 的 磁盘 ”对 话 框 


03 单 击 “转换 ”按钮 ， 显 示 如 图 7.19 所 示 “ 磁 盘 管理 ”对 话 框 ， 系 统 再 次 要 求 用 户 对 磁盘 升级 予以 确认 。 
当 将 该 磁盘 升级 为 动态 磁盘 后 ， 其 他 操作 系统 将 不 能 再 从 该 磁盘 启动 。 
04 单 击 “是” 按钮， 系统 开始 升级 过 程 。 转 换 完成 后 ， 如 图 7.20 所 示 。 


磁盘 管理 


需要 注意 的 是 ， 在 转换 到 动态 磁盘 时 ， 应 当 注 意 以 下 几 个 方面 的 问题 : 


里 必须 以 管理 员 或 管理 组 成 员 的 身份 登录 才能 完成 该 过 程 。 如 果 计算 机 与 网 络 连接 , 则 网 
络 策略 设置 也 可 能 阻止 完成 此 步骤 ; 
虽 将 基本 磁盘 转换 到 动态 磁盘 后 , 不 能 将 动态 卷 改 回 到 分 区 。 相 反 ， 必须 删除 磁盘 上 的 所 
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有 动态 卷 ， 然 后 使 用 “还 原 为 基本 磁盘 ”命令 ; 

@ 在 转换 磁盘 之 前 ， 关 闭 在 那些 磁盘 上 运行 的 程序 ; 

四 为 保证 升级 成 功 ， 任 何 要 升级 的 磁盘 都 必须 至 少 包含 1MB 的 未 分 配 空间 。 在 磁盘 上 创 
建 分 区 或 卷 时 ，“ 磁 盘 管 理 ” 将 自动 保留 这 个 空间 ， 但 是 带 有 其 他 操作 系统 创建 的 分 区 
或 卷 的 磁盘 上 可 能 没有 这 个 空间 ; 

里 扁 区 大 小 超过 512 字 节 的 磁盘 ， 不 能 从 基本 磁盘 升级 为 动态 磁盘 ， 

里 一 旦 转换 ， 动 态 磁盘 就 不 能 包含 分 区 或 逻辑 驱动 器 。 


7.3.3 实现 软 RAID 


软 RAID 也 必须 在 多 磁盘 系统 中 才能 实现 。 实 现 RAID-1 最 少 要 拥有 2 块 硬盘 ,实现 RAID-5 
最 少 要 拥有 三 块 硬盘 。 通 常情 况 下 ， 操 作 系 统 所 在 磁盘 采用 RAID-1， 而 数据 所 在 磁盘 采用 
RAID-5。 由 于 各 种 卷 的 创建 方式 基本 相同 ， 这 里 以 RAID-5 卷 为 例 进行 介绍 。 


1. 实现 RAID-5 


创建 或 修复 镜像 卷 或 RAID-5 卷 时 ， 需 要 使 用 型 号 、 大 小 和 制造 商都 相同 的 磁盘 。 这 可 以 
确保 磁盘 相同 , 而 且 简化 了 创建 新 的 镜像 卷 或 RAID-5 卷 以 及 蔡 换 出 现 故障 磁盘 的 过 程 。 另 外 ， 
还 建议 具有 可 用 的 备用 磁盘 和 磁盘 控制 器 ， 这样 ， 当 磁盘 或 磁盘 控制 器 出 现 故障 时 ,可 快速 使 
用 同一 类 型 的 磁盘 或 磁盘 控制 器 蔡 换 出 现 故障 磁盘 或 磁盘 控制 器 。 


四 1 右 击 要 设置 软 RAID 的 硬盘 ， 在 快捷 菜单 中 选 “02 单 击 “ 下 一 步 ” 按钮， 显示 如 图 7.22 所 示 “ 分 
择 “ 新 建 RAID-5 卷 ”命令 , 启动 “新 建 RAID-5 卷 ” 配 驱 动 器 号 和 路 径 ” 对 话 框 。 选 中 “分 配 以 下 驱动 
向 导 。 单 击 “ 下 一 步 ”按钮 ,显示 如 图 7.21 所 示 “ 选 ”器 号 ” 单 选 按钮 ， 并 在 其 下 拉 列 表 中 指派 一 个 该 
择 磁盘 ”对 话 框 。 在 左 侧 “ 可 用 ”列表 框 中 ， 选 择 ”RAID-5 卷 的 驱动 器 号 。 

要 添加 的 磁盘 ， 单 击 “ 添 加 ”按钮 ， 即 可 将 其 添加 

至 该 RAID-5 卷 ,并 显示 在 “已 选 的 ”列表 框 中 。 在 

“选择 空间 量 ” 文 本 框 中 ， 输 入 新 建 卷 的 大 小 。 


达 择 磁盘 分 配 驱 动 中 号 和 路 多 
您 可 以 选择 碰 盘 并 为 此 卷 设置 碰 盘 大 小 。 为 了 便于 访问 ， 您 可 以 给 卷 分 村 一 个 驱动 器 县 或 驱动 器 路 径 * 
选择 要 使 用 的 磁盘 ， 然 后 单 击 “ 添 加 ”。 
本 用 仙 ); 已 ND); 6 可 以 F386 动 器 号 内): 可 
ET 个 装 入 以 下 空白 WTPs 文件 夹 中 OD); 
< 出 涤 凶 ) ET 
EW OE 动 各 或 纪 动 中 入 0) 
着 大 小 总 堵 01B): 0 
最 大 可 用 空间 里 06); Ei 
选择 空间 量 WB) @E): sm 习 
《上 - 步 四 取消 《上 - 步 g 取消 


7.21 “选择 磁盘 ”对 话 杠 图 7.22 “分 配 驱动 器 号 和 路 径 ” 对 话 框 
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03 单 击 “下 一 步 ” 按钮， 显示 如 图 7.23 所 示 “ 卷 04 单 击 “ 下 一 步 ” 按钮， 显示 “正在 完成 新 建 
区 格式 化 ”对 话 框 。 选 择 “ 按 下 列 设 置 格式 化 这 个 RAID-5 卷 向 导 ” 对 话 框 ， 新 卷 创建 完成 。 单 击 “ 完 
卷 ” 选 项 ， 并 采用 默认 的 NTFS 文件 系统 和 分 配 单 ” 成 ”按钮 , 系统 自动 格式 化 新 创建 的 卷 。 至此, RAID-5 
位 大 小 。 在 “ 卷 标 ” 文本 框 中 , 输入 该 RAID-5 卷 的 ” 卷 创建 完成 ， 如 图 7.24 所 示 。 

卷 标 。 如 果 选 中 “执行 快速 格式 化 ” 复 选 框 ， 可 以 

在 创建 完成 后 ， 快 速 格式 化 该 卷 。 


新 建 KAID-5 卷 x| EECEG 


了 | 
从 区 本 式 化 A 
要 让 这 个人 上 全 有 地 ,全 失 村人 式 化。 一 一 一 | 
es 站 — 一 i 日 ee 
这 是 要 相 式 化 这个 芝 ;如 要 术 式 化, 要 全 什么 和 | 
个 不 要 格式 化 这 个 巷 中 
按理 人 08 从 0 
文件 系 缠 加) ms “可 
EL | 
着 标 W); ss 
厅 格式 化 
厂 六 fe 二 入 中) 


0] a 


图 7.23 “ 卷 区 格式 化 ”对 话 杠 图 7.24 RAID-5 卷 创建 完成 


2. 添加 镜像 卷 


对 于 已 有 的 动态 磁盘 , 可 以 简单 地 通过 添加 镜像 卷 的 方式 提高 数据 的 安全 性 。 例如 在 安装 
操作 系统 时 , 计算 机 上 只 安装 了 一 块 磁盘 , 此 时 为 保证 系统 安全 , 可 以 为 系统 磁盘 添加 镜像 卷 。 


011 在 “和 磁 盘 管理 ”中 ， 右 击 要 添加 镜像 磁盘 的 动 ”@@2 单 击 “ 添 加 镜像 ”按钮 ， 镜 像 添 加 完成 ， 如 
态 磁盘 ， 在 快捷 菜单 中 选择 “添加 镜像 ”选项 ， 显 7.26 所 示 。 需 要 注意 的 是 ， 添 加 为 镜像 的 磁盘 空间 
示 如 图 7.25 所 示 “ 添 加 镜像 ”对 话 框 ， 在 磁盘 列表 ”必须 大 于 或 等 于 现存 卷 。 
中 选择 要 设置 为 镜像 的 动态 磁盘 。 


EEECEH 


ETIETI 


让 [I lsd E154 L624 [libesk 
| 
7.25 “添加 镜像 ”对 话 框 7.26 ”镜像 添加 完成 


镜像 添加 完成 后 ， 系 统 将 自动 开始 磁盘 间 的 同步 操作 ， 这 可 能 会 需要 较 长 时 间 。 


1 一 


Ag 
局 ”Windows Server 2008 系统 安全 管理 实战 指南 


小 结 


磁盘 安全 是 系统 安全 中 最 重要 的 环节 之 一 ,作为 一 名 网 络 管理 员 既 要 确保 网 络 用 户 能 够 正 
常 使 用 所 需 的 文件 ， 又 要 防止 其 小 用， 以 确保 文件 的 安全 性 。 通常 情况 下 ， 可 以 通过 为 文件 设 
置 适 当 的 访问 权限 ， 限 制 用 户 的 非法 访问 ， 达 到 访问 控制 的 目的 。 在 Windows Server 2008 系 
统 中 ， 还 增加 了 各 种 新 的 技术 手段 ， 进 一 步 确保 了 系统 的 安全 性 。 


1. Windows Server 2008 的 系统 分 区 必须 为 哪 种 分 区 格式 的 文件 系统 ? 

2. Windows Server 2008 中 共享 权限 可 以 分 为 哪 三 种 ? 

3. Windows Server 2008 系统 中 新 增 了 哪个 功能 取代 了 原 Windows 系统 中 附带 的 备份 功能 
(Ntbackup.exe) ? 

4. Windows Server 2008 系统 中 文件 服务 器 可 以 利用 什么 工具 实现 磁盘 阵列 ? 


实验 : 恢复 磁盘 数据 


实验 目的 

掌握 如 何 利用 Windows Server Backup 恢复 磁盘 数据 。 

使 用 Windows Server Backup 中 的 恢复 向 导 从 备份 恢复 磁盘 数据 。 
. 打开 Windows Server Backup。 

. 设置 恢复 操作 。 

. 选择 备份 日 期 。 

. 完成 恢复 。 


人 mb 一 
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第 人 章 


文件 访问 安全 


文件 安全 是 系统 安全 中 最 重要 的 课题 之 一 , 既 要 确保 网 络 用 户 能 够 正常 使 
用 所 需 的 文件 ， 又 要 防止 其 滥用 , 确保 文件 的 安全 性 。 通 常情 况 下 ， 可 以 通过 
为 文件 设置 适当 的 访问 权限 ,限制 用 户 的 非法 访问 , 达到 访问 控制 的 目的 。 另 
外 ， 在 Windows Server 2008 系统 中 ， 还 提供 了 AD RMS 文件 安全 保护 功能 ， 
可 以 确保 局 域 网 内 文件 的 安全 访问 。 


本 章 导读 


NTFS 访问 权限 安全 
六 件 夹 共享 安 全 
共享 文件 夹 的 管理 
权限 管理 服务 
文件 数据 备份 
文件 数据 恢复 
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8.1 NTFS 访问 权限 安全 


NTFS 是 网 络 服务 器 上 使 用 最 多 的 文件 系统 ， 其 主要 特点 是 安全 性 高 ， 允 许 管理 员 为 文件 
配置 详细 的 访问 控制 权限 。Windows Server 2008 要 求 ， 系 统 分 区 必须 为 NTFS 文件 系统 ， 便 
于 为 各 种 网 络 服务 数据 及 日 志 信息 ， 提 供 更 安全 的 存储 和 访问 环境 。 


8.1.1 NTFS 基本 认识 


NTFS 即 NT File System， 是 Windows XP 和 Windows Server 2003 推荐 使 用 的 文件 系统 ， 
是 Windows Vista 和 Windows Server 2008 必须 的 文件 系统 。NTFS 文件 系统 的 核心 结构 叫 作 主 
文件 表 (Master File Table)。NTFS 会 对 主 文件 表 的 关键 部 分 做 出 数 份 拷贝 ， 以 防止 数据 的 残 
缺 或 丢失 。 

与 其 他 现 有 文件 系统 相 比 ，NTFS 文件 系统 可 以 为 文件 存储 提供 更 高 的 安全 性 和 可 靠 性 。 
例如 , NTFS 通过 使 用 标准 的 事务 处 理 记 录 和 还 原 技术 来 保证 卷 的 一 致 性 。 如 果 系统 出 现 故障 ， 
NTFS 将 使 用 日 志文 件 和 检查 点 信息 来 恢复 文件 系统 的 一 致 性 。 另 外 ，NTFS 还 可 以 提供 诸如 
文件 和 文件 夹 权 限 、 加 密 、 磁 盘 配额 和 压缩 这 样 的 高 级 功能 。 

NTFS 文件 系统 具有 以 下 功能 和 优点 


m 更 好 的 伸缩 性 使 扩展 为 大 驱动 器 成 为 可 能 。NTFS 的 最 大 分 区 或 卷 比 FAT 的 最 大 分 区 或 
卷 大 得 多 ， 当 卷 或 分 区 大 小 增加 时 ，NTEFS 的 性 能 并 不 会 降低 ,而 在 此 情形 下 FAT 的 性 
能 会 降低 ; 

和 Active Directory。 通 过 Active Directory 可 容易 地 查看 和 控制 网 络 资源 。 使 用 域 可 以 在 保 
持 管理 简单 的 情况 下 微调 安全 选项 。 域 控制 器 和 Active Directory 需要 使 用 NTFS; 

压缩 功能 , 包括 压缩 或 解压 缩 驱 动 器 、 文 件 夹 或 者 特定 文件 的 功能 , 但 是 不 可 以 同时 压 
缩 和 加 密 茶 个 文件 ; 

文件 加 密 ， 它 极 大 地 增强 了 安全 性 ， 但 是 不 可 以 同时 压缩 和 加 密 某 个 文件 ; 

可 以 对 单个 文件 而 不 仅仅 对 文件 夹 设置 权限 ; 

@ 远程 存储 ， 通 过 使 可 移动 媒体 (如 磁带 ) 更 易 访问 ,从 而 扩展 了 磁盘 空间 。 恢 复 磁盘 活 
动 的 日 志 记录 ， 它 允许 NTFS 在 断 电 或 发 生 其 他 系统 问题 时 尽快 地 恢复 信息 ; 

稀 疏 文件 。 稀 政 文 件 是 一 些 大 型 文件 , 应 用 程序 以 一 种 仅 需 有 限 磁盘 空间 的 方式 创建 了 
这 些 文件 。 也 就 是 说 ，NTFS 只 为 文件 的 写 入 部 分 分 配 了 磁盘 空间 ; 

磁盘 配额 ， 可 用 来 监视 和 控制 单个 用 户 使 用 的 磁盘 空间 量 。 
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8.1.2 NTFS 文件 夹 权 限 和 NTFS 文件 权限 


对 于 NTFS 分 区 上 的 文件 和 文件 夹 , 管理 员 可 以 通过 NTFS 权限 限制 不 同 用 户 帐户 的 访问 
权限 。 文 件 和 文件 夹 的 NTFS 权限 有 两 种 类 型 : 显 式 权限 和 继承 权限 。 其 中 ， 显 式 权限 是 系统 


创建 对 象 时 , 默认 赋予 


户 帐户 的 访问 和 操作 权限 ; 继承 权限 是 从 父 对 象 传播 到 当前 对 象 的 权 


限 。 继承权 限 可 以 减轻 管理 权限 的 任务 , 并 确保 给 定 容器 内 所 有 对 象 之 间 的 权限 一 致 性 。 默认 
情况 下 ， 文 件 将 自动 继承 来 自 其 父 文件 夹 的 NTFS 权限 设置 。 


1. NTFS 文件 夹 权 限 
NTFS 文件 夹 权 限 及 允许 用 户 完成 的 操作 如 表 8.1 所 示 。 


NTFS 文件 夹 权限 
读 取 


写 入 


列 出 文件 夹 目录 
读 取 及 运行 


修改 


完全 控制 


表 8.1 NTFS 文件 夹 权 限 
允许 用 户 完成 的 操作 

查看 该 文件 夹 中 的 文件 和 子 文件 夹 ; 
查看 文件 夹 的 所 有 者 、 权 限 和 属性 〈 如 只 读 、 隐 藏 、 存 档 和 系统 ) 
在 该 文件 夹 内 新 建文 件 和 子 文件 夹 ; 
更 改 文件 夹 属性 ， 查 看 文件 夹 的 所 有 者 和 权限 
查看 该 文件 夹 中 的 文件 和 子 文件 夹 的 名 称 
完成 “ 读 取 ” 权 限 和 “ 列 文件 夹 目录 ”权限 所 允许 的 操作 ; 
漫游 各 个 文件 夹 ， 以 便 访问 其 他 文件 和 文件 夹 ， 即 使 该 用 户 没有 那些 文件 夹 的 权限 
完成 “ 写 入 ”权限 及 “ 读 取 及 执行 ”权限 所 允许 的 操作 ; 
删除 文件 夹 
完成 其 他 所 有 NTFS 权限 允许 的 操作 ; 
更 改 权限 ， 取 得 所 有 权 和 删除 子 文件 夹 和 文件 


2. NTFS 文件 权限 
NTEFS 文件 权限 及 允许 用 户 完成 的 操作 如 表 8.2 所 示 。 


表 8.2 NTFS 文件 权限 及 允许 用 户 完成 的 操作 


NTFS 文件 权限 允许 用 户 完成 的 操作 

读 取 读 该 文件 和 查看 文件 属性 、 所 有 者 及 权限 

写 入 覆盖 该 文件 ， 更 改 文件 属性 和 查看 文件 的 所 有 者 和 权限 

读 取 及 运行 完成 “ 读 取 ” 权 限 所 允许 的 操作 ; 
运行 应 用 程序 

修改 完成 “ 写 入 ”权限 和 “ 读 取 及 运行 ”权限 所 允许 的 操作 ; 
修改 和 删除 文件 

完全 控制 完成 其 他 所 有 NTFS 文件 权限 所 允许 的 操作 ; 


更 改 权限 和 取得 所 有 权 。 
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8.1.3 多 重 NTFS 权限 


管理 员 可 以 根据 需要 为 NTFS 分 区 上 的 文件 和 文件 夹 同时 设置 NTFS 权限 , 而 文件 夹 和 文 
件 有 可 能 是 包含 与 被 包含 的 关系 , 所 以 必然 会 产生 资源 权限 的 重复 , 从 而 直接 导致 文件 夹 或 文 
件 最 终 的 NTFS 权限 并 非 是 管理 员 真 正 需要 的 结果 。 


1. 权限 是 累积 的 


用 户 对 一 个 资源 的 最 终 权限 ， 是 为 该 用 户 指定 的 全 部 NTFS 权限 和 为 该 用 户 所 属 组 指定 的 全 
部 NTFS 权限 之 和 。 如 果 某 用 户 拥有 一 个 文件 夹 的 读 取 权限 ， 同 时 又 是 对 该 文件 夹 有 写 入 权限 用 
户 组 的 成 员 , 则 最 终 该 用 户 对 这 个 文件 夹 既 
有 读 取 权限 ， 也 有 写 入 权限 。 

例如 ,用 户 帐户 liuxh 隶属 于 Manager 
组 , 并 且 该 用 户 本 身 对 Folder 文件 夹具 有 
读 取 权限 ， 而 其 所 在 用 户 组 Manager 对 
Folder 文件 夹 拥 有 写 入 权限 ， 所 以 最 终 用 
户 liuxh 对 Folder 文件 夹 的 有 效 权限 就 是 
“ 读 取 + 写 入 ”， 如 图 8.1 所 示 。 


2. 文件 权限 优先 于 文件 夹 权 限 


NTFS 文件 权限 优先 于 NTFS 文件 夹 权限 ， 即 用 户 只 要 有 访问 一 个 文件 的 权限 ， 即 使 没有 
访问 该 文件 所 在 文件 夹 的 权限 ， 也 可 以 访问 该 文件 。 用 户 可 以 通过 通用 命令 规则 (UNC) 或 
本 地 路 径 ， 从 各 自 的 应 用 程序 打开 有 权 访 
问 的 文件 。 即 使 该 用 户 由 于 没有 包含 该 文 
件 夹 的 权限 而 看 不 到 该 文件 夹 ， 但 仍然 可 
以 访问 那些 文件 。 例 如 ，Folder 文件 夹 下 
包含 Filesl 和 Files2 两 个 文件 ，Folder 的 
文件 夹 权限 允许 用 户 liuxh 写 入 ， 但 File2 
的 NTFS 权限 只 允许 用 户 liuxh 读 取 ， 此 
时 用 户 liuxh 的 有 效 权限 就 是 对 Folder 文 
件 夹 (包括 Filel) 的 写 入 权限 和 对 File2 图 8.2 文件 权限 优先 于 文件 夹 权限 
的 读 取 权限 ， 如 图 8.2 所 示 。 


3. 拒绝 权限 优先 于 其 他 权限 


在 Windows 系统 所 有 NTFS 权限 中 ， 拒 绝 权 限 优先 于 其 他 任何 权限 。 即 使 用 户 作为 一 个 
组 的 成 员 有 权 访问 文件 或 文件 夹 , 一 旦 该 用 户 被 设置 了 拒绝 访问 权限 , 则 最 终 将 剥夺 该 用 户 可 
能 拥有 的 任何 其 他 权限 。 在 实际 使 用 中 , 应当 尽量 避免 使 用 拒绝 权限 ， 因 为 允许 用 户 和 组 进行 
某 种 访问 , 要 比 设置 拒绝 权限 更 容易 做 到 。 而 事实 上 ， 只 需 巧 妙 地 构造 组 和 灵活 组 织 文件 夹 中 
的 资源 ， 即 可 通过 各 种 各 样 的 “允许 ”权限 满足 访问 控制 的 需求 。 


图 8.1 权限 是 累积 的 
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例如 ，Userl 同时 属于 Group B 组 和 GroupA 组 。 其 中 ，Userl 拥有 对 Folder A 的 读 取 权限 ， 
Group B 拥有 对 Folder A 的 读 取 和 写 入 权限 ，Group A 则 被 禁止 对 File2 的 写 入 操作 。 因 此 ，Userl 
拥有 对 FolderA 和 Filel 的 读 取 和 写 入 权限 ， 但 对 File2 只 有 读 取 权限 ， 如 图 8.3 所 示 。 


图 8.3 拒绝 权限 优先 于 其 他 权限 


8.1.4 NTFS 权限 的 继承 性 


默认 情况 下 ，NTFS 权限 是 具有 继承 性 的 。 所 谓 继承 性 ， 就 是 指 NTFS 权限 自动 从 父 对 象 
传播 到 当前 对 象 的 过 程 , 例如 子 文件 夹 继承 来 自 其 父 文件 夹 的 NTFS 权限 , 文件 继承 来 自 文件 
夹 的 NTFS 权限 等 。 当 然 ， 正 是 因为 Windows 系统 默认 启用 了 NTFS 权限 继承 ， 才 会 使 用 户 
不 容易 更 加 直观 判断 对 象 最 终 的 NTFS 权限 值 。 管 理 员 可 以 根据 实际 情况 , 限制 这 种 权限 继承 。 


1. 权限 继承 


文件 和 子 文件 夹 从 其 父 文 件 夹 继承 权限 , 即 管理 员 为 父 文件 夹 指定 的 任何 权限 , 同时 也 适 
用 于 该 父 文件 夹 中 所 包含 的 子 文件 夹 和 文件 。 当 为 一 个 NTFS 文件 夹 指 定 权 限时 , 不 仅 为 该 文 
件 夹 及 其 中 所 包含 的 文件 和 子 文件 夹 指 定 
了 权限 ， 同 时 也 为 将 来 在 该 文件 夹 中 创建 
所 有 新 文件 和 文件 夹 指 定 了 权限 。 默 认 情 
况 下 ， 所 有 文件 夹 和 文件 都 会 自动 从 其 父 
文件 夹 继承 权限 。 

例如 ， 当 人 允许 权限 继承 时 ， 为 Folderl 
设置 的 访问 权限 ， 将 自动 被 传递 给 Filel、 
Folder2 和 File2。 也 就 是 说 , 子 文件 夹 Folder2 | 
和 文件 Filel、File2 将 自动 取得 为 父 文件 夹 
Folderl 设置 的 访问 权限 ， 如 图 8.4 所 示 。 


2. 禁止 权限 继承 


可 以 禁止 指定 给 一 个 父 文件 夹 的 权限 被 这 个 文件 夹 中 所 包含 的 子 文件 夹 和 文件 继承 ,也 就 
是 说 , 子 文件 夹 和 文件 不 会 继承 指定 给 包含 它们 的 父 文 件 夹 的 权限 。 被 禁止 继承 权限 的 文件 夹 


图 8.4 权限 继承 
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变 成 新 的 父 文件 夹 ， 为 该 文件 夹 指 定 的 权限 将 会 被 它 所 包含 的 任何 子 文件 夹 和 文件 继承 。 

例如 ， 当 禁止 权限 继承 时 ， 为 Folderl 设置 的 访问 权限 ， 将 不 被 传递 给 File1、Folder2 和 
File2。 也 就 是 说 ， 子 文件 夹 Folder2 和 文件 Filel、File2 不 能 自动 取得 为 父 文件 夹 Folderl 设置 
的 访问 权限 ， 必 须 一 一 为 这 些 子 文件 夹 和 文件 分 别 设置 访问 权限 ， 示 意图 如 图 8.5 所 示 。 


fi 


图 8.5 禁止 继承 权限 


8.1.5 ”设置 磁盘 根 目录 访问 权限 


NTFS 权限 是 可 以 继承 的 ， 而 默认 情况 下 磁盘 根 目 录 的 权限 设置 将 自动 播发 到 其 所 包含 的 
所 有 子 文件 和 文件 夹 上 ,因此 对 于 根 目 录 的 访问 权限 控制 是 至 关 重 要 的 。 另 外 , 为 了 便于 对 某 
分 区 上 的 所 有 文件 和 文件 夹 访问 权限 进行 统一 部 署 ， 也 可 以 直接 对 磁盘 根 目录 操作 。 


0 十 打开 “Windows 资源 管理 器 ”窗口 ， 右 击 “ 本 地 磁盘 (C: ) ”选择 快捷 菜单 中 的 “属性 ”选项 ， 显 示 如 


图 8.6 所 示 “ 本 地 磁盘 (C:) 属性 ”对 话 框 ， 切 换 到 “安全 ”选项 卡 。 


项 有 | I || 
有 。 | 如 副本 | 的 % 本 | 本 上 


要 5 限 ,请 妆 击 “ 坊 刘 " pr 


CR Ww | mw | 


图 8.6 “本 地 磁盘 (C:) 属性” 对话 框 


02 单 击 “ 高 级 ”按钮 ， 显 示 如 图 8.7 所 示 “ 本 地 磁盘 (C:) 的 高 级 安全 设置 ”对 话 框 。 在 “权限 项 目 ” 列 
表 中 ， 选 择 希 望 修改 权限 设置 的 用 户 帐户 或 组 。 
03 单 击 “编辑 ” 按钮 ， 显 示 如 图 8.8 所 示 权限 设置 对 话 框 ， 选 中 “使 用 可 从 此 对 象 继承 的 权限 替换 所 有 后 
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图 8.7 8.8 权限 设置 对 话 框 


“本 地 磁盘 (C:) 的 高 级 安全 设置 ”对 话 框 


04 单 击 “ 确 定 ”按钮 ， 回 到 “本 地 磁盘 (C:) 的 高 级 安全 设置 ”对 话 框 ， 单 击 “ 确 定 ” 按 钮 。 回 到 “本 地 
磁盘 (C:) 属性 ”对 话 框 ， 再 次 单 击 “ 确 定 ”按钮 即 可 完成 设置 权限 的 操作 。 


8.1.6 取消 Everyone 组 所 有 权限 


Everyone 组 是 Windows 系统 中 的 一 个 特殊 组 ,代表 所 有 当前 系统 或 网 络 上 的 所 有 用 户 帐 户 ， 
包括 来 自 其 他 域 或 网 络 计算 机 的 来 宾 帐户 ， 并 且 无 论 用 户 何 时 登录 到 网 络 上 ， 或 通过 网 络 访问 
本 地 计算 机 ， 都 会 自动 将 该 用 户 添加 到 Everyone 组 中 。 


如 果 为 Everyone 组 赋予 某 种 控制 权限 ， 则 任何 用 户 都 可 
以 对 所 涉及 的 文件 夹 或 文件 进行 操作 ， 严 重 影响 系统 安 | xp 篇 
全 ， 因 此 建议 取消 Everyone 组 的 所 有 权限 。 需 要 注意 的 坦 或 用 户 名 


是 , 在 早期 版 本 的 Windows NT 系统 中 , 匿名 登录 用 户 也 
是 属于 Everyone 组 的 ， 但 在 Windows Server 2003/2008 
系统 中 ,“ 匿 名 登录 ”组 在 默认 情况 下 已 不 是 Everyone 组 
的 成 员 。 

打开 “Windows 资源 管理 器 ”, 右 击 “本 地 磁盘 (D:)” 
盘 符 选项 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 
“本 地 磁盘 〈D: ) 属性 ”对 话 框 。 选 择 “安全 ”选项 
卡 ， 单 击 “ 编 辑 ” 按 钮 ， 显 示 如 图 8.9 所 示 “ 本 地 磁盘 
(D: ) 的 权限 ”对 话 框 ， 在 “组 或 用 户 名 ”列表 框 中 选 
中 “Everyone”， 单 击 “ 删 除 ” 按 钮 将 其 删除 。 最 后 ， 单 
击 “ 确 定 ” 按 钮 保存 设置 即 可 。 


忠 CEEATOR OYNER 
妃 sTSTEI 


BAdninistrator CNJWdninistrater) 


图 8.9 “本 地 磁盘 (D:) 的 权限 ”对 话 框 


默认 情况 下 ,在 Windows Server 2008 系统 中 ，Everyone 组 只 被 赋予 了 很 少 的 读 取 权 限 ， 安 全 


性 相对 较 高 。 
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8.2 文件 夹 共享 安全 


为 了 防止 网 络 用 户 恶意 删除 或 修改 共享 文件 ,管理 员 可 以 为 不 同 的 用 户 帐户 赋予 不 同 的 访 
问 权 限 ， 只 允许 少量 用 户 具备 修改 或 删除 权限 ， 普 通用 户 授予 其 “只 读 ” 权限 即 可 。 隐藏 共享 ， 
可 以 只 允许 指定 的 用 户 浏览 共享 资源 ， 增 加 了 共享 资源 的 安全 性 。 


8.2.1 创建 共享 文件 夹 


除 系统 默认 设置 的 共享 目录 外 ,用户 还 可 以 根据 需要 随时 设置 共享 文件 夹 。 另外, 在 文件 
服务 器 上 ， 发 布 新 的 共享 资源 时 ， 也 需要 将 所 在 目录 设置 为 共享 。 在 Windows Server 2008 系 
统 中 ， 用 户 可 以 通过 如 下 几 种 方法 设置 共享 文件 夹 。 


1. 方法 一 :“ 计 算 机 管理 ”控制 台 


1 选择 “开始 ”一 “管理 工具 ”一 “计算 机 管理 ”命令 ， 打 开 “ 计 算 机 管理 ”对 话 框 。 依 次 选择 “计算 机 
管理 (本 地 ) ”一 “共享 文件 夹 ” 右 击 “ 共 享 ”命令 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 共 享 ”命令 ， 显 
示 “ 创 建 共享 文件 夹 向 导 ” 对 话 框 。 依 次 单 击 “ 下 一 步 ”按钮 ， 设 置 源 文件 夹 路 径 和 共享 名 ， 如 图 8.10 


图 8.10 设置 源 文件 夹 路 径 和 共享 名 


2 单 击 “ 下 一 步 ” 按钮 ， 显 示 共享 文件 来 的 权限 设置 对 话 框 ， 选 择 “ 所 有 用 户 有 只 读 访问 权限 ” 单 选 按钮 。 
单 击 “ 完 成 ”按钮 ， 显 示 共 享 成 功 窗 口 ， 如 图 8.11 所 示 。 
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共享 文件 夫 的 入 限 人 
各 限 让 您 能 竞 控制 可 以 查看 文件 夫 的 人 员 和 他 们 3 访问 统 别 : 
创建 共享 文件 夫 向 导 


Cc EE “守成” 时， 再 次 运行 该 向 号 未 共享 另 一 个 
可 
和 要 关闭 此 问 导 ， 请 单 击 “ 完 成 ”* 


图 8.11 设置 共享 文件 夹 的 权限 


(03 单 击 “ 完 成 ”按钮 ， 根 据 所 选择 的 路 径 打开 共享 文件 来 的 路 径 ， 即 可 看 到 选择 的 文件 来 已 经 共享 ， 如 图 
8.12 所 示 。 


三 
EC EE 
和 ”证 p 图 ， 门 RREE 也 # 字 


图 8.12 “资料 ”文件 夹 已 共享 


2. 方法 二 :“ 文 件 共享 ”向 导 


源 管理 器 ”窗口 中 ， 右 击 “ 学 ”2 在 下 拉 列 表 项 内 选择 要 与 其 共享 的 网 络 上 的 月 
习 ” 文 件 夹 ， 选 择 快捷 菜单 中 的 “共享 ”选项 ， 显 ” 户 ， 单 击 “ 添 加 ”按钮 ， 将 其 添加 到 下 方 列表 中 ， 单 击 
示 如 图 8.13 所 示 “ 文 件 共享 ”对 话 框 。 “共享 ”按钮 ， 显 示 完 成 共享 对 话 框 ， 如 图 8.14 所 示 。 


要 文件 共享 划 | 区 文件 共享 | 
人 3 xfHt © = xfHts 

要 与 其 训 的 了 络 上 的 有 户 EE 

ES 各 
enone J Caw ep 
TEs wb ms 
B Administrator Er 
了 EWindons 中 法 EE 
局 # 这 四 2 和 


图 8.13 “文件 共享 ”对 话 框 图 8.14 完成 共享 
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03 单 击 “完成 ”按钮 ， 根 据 所 选择 的 路 径 打开 共享 文件 夹 的 路 径 ， 即 可 看 到 选择 的 文件 来 已 经 共享 。 


3. 方法 三 :“ 高 级 共享 ”向 导 

在 “Windows 资源 管理 器 ”窗口 中 ， 右 击 需要 共享 的 文件 或 文件 夹 〈 仍 以 “学 习 ” 文 件 
夹 为 例 )， 选 择 快 捷 菜单 中 的 “属性 ” 选项， 显示“ 学 习 属性 ”对 话 框 ， 切 换 到 “共享 ”选项 
卡 。 单 击 “ 高 级 共享 ”按钮 ， 显 示 “ 高 级 共享 ”对 话 框 ， 如 图 8.15 所 示 。 选 中 “共享 此 文件 
夹 ” 复 选 框 ， 并 在 “将 同时 共享 的 用 户 数量 限制 为 : ”微调 框 内 设置 适当 的 用 户 数 量 。 最 后 ， 
依次 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


图 8.15 设置 高 级 共享 属性 


“高 级 共享 ”对 话 框 中 各 选项 或 按钮 的 含义 如 下 : 


“将 同时 共享 的 用 户 数量 限制 为 ”选项 用 于 限制 共享 用 户 的 上 限 ， 确 保 在 为 网 络 用 户 提 
供 共享 的 同时 ， 不 至 于 影响 本 地 正常 应 用 ; 

里 单 击 “ 权 限 ” 按 钮 ， 可 以 针对 不 同 的 用 户 帐户 ， 设 置 不 同 的 共享 访问 权限 ， 系 统 默认 的 
是 对 所 有 文件 夹 设置 了 所 有 用 户 具有 “ 读 取 ”的 最 基本 共享 权限 ; 

里 单 击 “缓存 ”按钮 ， 可 以 设置 当前 共享 文件 夹 是 否 允 许 用 户 脱 机 访问 ,可 以 根据 实际 需 
要 只 允许 脱 机 访问 指定 的 文件 或 应 用 程序 。 


4. 方法 四 : net share 命令 


以 管理 员 身 份 打 开 “ 命 令 提示 符 ” 窗 口 ， 使 用 net share 命令 ， 也 可 以 设置 共享 文件 夹 。 
仍 以 “E:\ 学 习 ” 为 例 ， 在 命令 提示 符 窗口 中 ， 输 入 如 下 命令 : 

net share ex\ 学 习 

回 车 执行 ， 即 可 将 “学 习 ” 文 件 夹 设置 为 共享 。 继 续 输入 net share， 按 下 Enter 键 ， 即 可 
显示 共享 的 文件 夹 ， 如 图 8.16 所 示 。 
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8.16 ”使 用 net share 创建 共享 文件 来 


提示 “net share 是 创建 、 删 除 、 管 理 和 显示 共享 资源 的 命令 ; sharename=drive:path 参数 是 


\ -4 用 来 指定 共享 资源 的 网 络 名 称 和 其 绝对 路 径 的 。 


8.2.2 ”共享 文件 夹 的 权限 


为 了 保护 计算 机 及 其 资源 的 安全 , 必须 考虑 用 户 将 拥有 的 权利 。 可 通过 授权 用 户 或 组 特定 
的 用 户 权利 来 确保 某 计算 机 或 多 台 计 算 机 的 安全 。 可 以 通过 分 配 用 户 或 组 的 权限 对 该 对 象 执行 
特定 操作 来 保护 对 象 共 享 的 权限 只 能 控制 网 络 访问 , 不 能 控制 本 机 访问 。Windows Server 2008 
提供 的 共享 权限 设置 包括 : 

里 完全 控制。 完全 控制 权限 是 指派 给 本 地 计算 机 上 的 Administrators 组 的 默认 权限 。“ 完 全 

控制 ”权限 具有 全 部 读 取 及 更 改 权限 ; 

更 改 权 限 。“ 更 改 ” 权 限 不 是 任何 组 的 默认 权限 。“ 更 改 ” 权 限 除 允许 以 上 所 有 的 “ 读 取 ” 

权限 外 ， 还 具有 如 下 权限 : 


> 添加 文件 和 子 文件 夹 ; 
> 更 改 文件 中 的 数据 ; 


> 删除 子 文件 夹 和 文件 。 
读 取 权限 。“ 读 取 ” 权 限 是 指派 给 Everyone 组 的 默认 权限 。“ 读 取 ” 权 限 允 许 进行 下 面 
的 操作 : 


> 查看 文件 名 和 子 文件 夹 名 ; 
> 查看 文件 中 的 数据 ; 
> 运行 程序 文件 。 
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8.2.3 ”停止 默认 共享 文件 夹 


默认 共享 主要 是 为 了 方便 网 络 管理 员 管 理 网 络 中 的 计算 机 ， 特 别 是 在 基于 域 的 网 络 中 ， 专 
有 几 个 默认 共享 用 于 存储 用 户 配置 文件 ， 是 非常 方便 的 。 但 是 ， 默 认 共 享 在 方便 管理 的 同时 ， 也 
给 计算 机 的 安全 埋 下 了 重大 安全 隐患 。 如 果 知 道 了 管理 员 帐户 和 密码 ， 任 何人 都 能 访问 计算 机 ， 
所 以 如 果 管 理 员 帐户 密码 恶意 用 户 窃取 ， 对 于 计算 机 的 安全 来 说 是 非常 不 利 的 。 如 果 在 网 络 中 没 
有 使 用 默认 共享 的 必要 ， 建 议 用 户 将 系统 的 默认 共享 关闭 ， 从 而 进一步 保证 计算 机 的 安全 。 

1. 使 用 net share 命令 


以 管理 员 身 份 打开 “命令 提示 符 ” 窗 口 ， 
在 命令 行 提示 符 下 ， 输 入 如 下 命令 : 


NET SHARE Admin$ /DELETE 


按 Enter 键 ， 命 令 成 功 执 行 ， 即 可 停止 共 
享 ， 如 图 8.17 所 示 。 

其 中 d$ 表 示 系 统 默认 共享 D 盘 , 其 他 如 
C$、ADMIN$、IPCS$ 等 都 可 以 使 用 此 种 格式 
删除 。 

在 “/delete” 前 必须 要 有 空格 。 可 以 使 用 
“NET SHARE ADMIN$” 或 “NET SHARE 
IPC$” 建 立 “ADMIN$” 或 “NET SHARE IPC$” 共 享 (如 果 共 享 存在 ， 则 为 显示 共享 )， 但 
需要 注意 的 是 ， 其 他 共 5 享 则 不 能 使 时 该 方法 来 建议 默认 共享 。 

如 果 需 要 删除 所 有 的 默认 共享 ,可 以 使 脚本 命令 ( 批 处 理 文件 方式 ) 完 成 ( 即 扩展 名 为 .bat” 
的 文件 ): 


8.17 ”删除 d$ 默 认 共享 


net share IPC$ /delete 
net share Admin$ /delete 
net share C$ /delete 
net share D$ /delete 


可 以 根据 需要 分 别 删除 默认 共享 的 盘 符 ， 
该 批 处 理 文件 可 以 在 命令 提示 符 下 运行 ， 也 
可 以 将 其 添加 到 启动 项 中 ， 如 图 8.18 所 示 。 
这 里 创建 一 个 名 为 “share.bat” 的 批 处 理 文件 ， ， 
用 以 将 系统 的 默认 共享 删除 ， 并 在 命令 提示 站 
符 下 运行 。 
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2. 关闭 Server 服务 
共享 使 用 的 是 计算 机 系统 的 Server 服务 ， 如 果 将 该 服务 直接 关闭 ， 就 可 以 直接 删除 默认 


依次 选择 “开始 ”一 “管理 工具 ”一 “服务 ”命令 ， 打 开 “ 服 务 ” 窗 口 ， 双 击 “Server” 
服务 命令 ， 打 开 “Server 的 属性 (本 地 计算 机 )” 对 话 框 。 在 “启动 类 型 ”下 拉 列 表 中 ， 选 择 
“手动 ”命令 , 以 免 再 次 重新 启动 系统 时 服务 随 之 启动 。 单 击 “ 停 止 ” 按 钮 , 即 可 停止 “Server” 
服务 如 图 8.19 所 示 。 


再 次 打开 命令 提示 符 窗口 ， 输 入 “net share” 字 符 串 命令 ， 按 下 回 车 键 ， 显 示 如 图 8.20 所 
示 结果 ， 提 示 Server 服务 没有 启动 ， 直 接 输 入 “n” 并 回 车 即 可 。 


8.20 关闭 Server 服务 后 


使 用 这 种 方法 停止 默认 共享 后 ， 其 他 共享 也 将 同时 被 取消 ， 应 慎重 选择 。 

3. 修改 注册 表 

使 用 前 面 两 种 方法 停止 完成 系统 默认 共享 ， 当 系统 重新 启动 后 ， 默 认 共享 会 重新 恢复 。 如 
果 用 户 需要 永久 性 地 停止 系统 默认 共享 , 可 以 通过 修改 注册 表 的 方法 来 实现 该 目的 。 停止 系统 
默认 共享 的 键 值 ， 默 认 情况 下 在 Windows 操作 系统 上 不 存在 ， 需 要 用 户 手动 添加 该 键 值 ， 修 
改 后 重新 启动 计算 机 即 可 使 该 键 值 生效 。 


195 


时 
属 ”Windows Server 2008 系统 安全 管理 实战 指南 


钮 ， 在 “开始 搜索 ”文本 框 中 , 输 ”四 2 右 击 右 侧 的 空白 窗口 处 ， 在 弹出 的 快捷 菜单 中 
入 “regedit” 并 按 下 回 车 键 ， 打 开 “ 注 册 表 编辑 器 ” 窗 ” 选择“ 新建” 命令， 在 子 菜单 中 选择 “Dword 值 ” 
口 。 选 择 如 下 注册 表 子 项 : [HKEY_LOCAL_MACHINE\ 命令 ,新 建 一 个 名 为 “AutoShareServer” 的 DWORD 


SYSTEM\CurrentControlSet\Services\LanmanServ ” 值 ， 并 将 其 赋值 为 : 00000000， 如 图 8.22 所 示 。 
erWAutotunedParameters]， 如 图 8.21 所 示 。 


ET 
和 Ee 习 


TT 


sl 
习 NM WY? acd PCT ore TN eeens ole Gori ens VemvaS oer tbat no tole 


同志 


图 8.22 创建 DWORD 值 


4. Microsoft 网 络 的 文件 和 打印 机 共享 


除 使 用 修改 注册 表 的 方法 外 ， 还 可 以 使 用 邱 载 网 卡 相关 属性 的 方法 ， 关 闭 默认 共享 。 

在 “控制 面板 ”窗口 中 , 打开 “网 络 和 共享 中 心 ”窗口 。 单 击 “ 查 看 状态 ”链接 , 打开 “本 
地 连接 状态 ”对 话 框 ， 单 击 “ 属 性 ”按钮 ， 显 示 如 图 8.23 所 示 “ 本 地 连接 属性 ”对 话 框 。 

选中 “Microsoft 网 络 的 文件 和 打印 机 共享 ” 复 选 框 ， 单 击 “卸载 ”按钮 ， 系 统 提示 确认 
删除 信息 ， 显 示 如 图 8.24 所 示 “ 印 载 Microsoft 网 络 的 文件 和 打印 机 共享 ”对 话 框 。 单 击 “ 是 ” 
按钮 ， 即 可 完成 “Microsoft 网 络 的 文件 和 打印 机 共享 ”项 目的 卸载 。 
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© -人 了 您 确定 要 着 载 


| 


图 8.23 设置 本 地 连接 属性 图 8.24 钙 载 信息 提示 
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8.2.4 设置 隐藏 共享 


通常 情况 下 , 用 户 可 以 通过 网 上 邻居 查看 或 访问 其 他 计算 机 上 的 共享 资源 , 但 其 中 并 不 包 
括 隐 藏 共享 。 因此 设置 隐藏 共享 也 是 保护 共享 资源 安全 的 一 种 常用 方法 , 访问 者 必须 使 用 准确 
的 共享 名 才 可 以 访问 。 
在 “Windows 资源 管理 器 ”中 ， 右 击 想 要 设置 隐藏 共享 的 文件 夹 ( 以 book 文件 夹 为 例 )， 
并 选择 快捷 菜单 中 的 “属性 ”， 打 开 “book 属性 ”对 话 框 ， 切 换 至 “共享 ”选项 卡 ， 单 击 “高 
级 共享 ”按钮 ， 打 开 如 图 8.25 所 示 “ 高 级 共享 ”对 话 框 。 选 中 “共享 此 文件 夹 ” 复 选 框 ， 并 
在 “共享 名 ”文本 框 中 显示 的 默认 名 称 后 追加 “$”， 也 可 以 设置 其 他 共享 名 ,但 隐藏 共享 必须 
以 “$” 结 尾 。 网 络 中 的 其 他 计算 机 无 法 直接 通过 资源 管理 器 访问 隐藏 共享 ， 但 可 以 在 任意 地 
址 栏 中 输入 “\\ 服 务 器 名 \ 共 享 名 ”进行 访问 ， 注 意 此 时 的 共享 名 中 也 包括 特殊 字符 “$” 如 
“Wjlbook$”。 此外， 也 可 以 通过 映射 网 络 驱 动 器 直接 访问 ， 如 图 8.26 所 示 。 


EE 


帝 具 。 共 训 | 安全 | 以 有 版本 | 自 证 X| OY WR 
要 两 抽 的 由 绍 文件 夫 : 
| 壮 放 要 活 汪 六 活 渗 和 六 付 实 扣 示 站 双生 号: 

共享 共 名 0; 

二 加 kr ED 7 本 
3 是 守 (Oj: | Nbood J wae). 
站 人 xb 饮 。 必 二 挫 束 加 用户 娄 凤 币 为 中: 

网 刘 8 共 京 内 

密码 保护 

i 

着 要 于 以 册 这 轩 ， 请 


关闭 | ul 
图 8.25 “高 级 共享 ”对 话 杠 图 8.26 “映射 网 络 驱动 器 ”对 话 杠 


8.3 权限 管理 服务 


威胁 文件 安全 的 主要 因素 往往 来 自 内 部 用 户 ， 而 普通 的 访问 权限 限定 很 难 做 到 万 无 一 失 。 
Windows Server 2008 系统 中 的 AD RMS (Rights Management Services， 权 限 管 理 服务 ) 可 以 通 
过 数字 证 书 和 用 户 身份 验证 技术 对 各 种 Office 文档 的 访问 权限 加 以 限制 ， 可 以 有 效 防 止 内 部 
用 户 通过 各 种 途径 擅自 泄漏 机 密 文档 内 容 ， 从 而 确保 了 数据 文件 访问 的 安全 性 。 


8.3.1 安装 AD RMS 前 的 准备 


相对 于 先前 的 RMS 而 言 , AD RMS 不 再 是 一 个 独立 服务 插件 , 已 经 成 为 Windows 的 一 项 
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内 置 功能 ， 并 且 包 含 了 某 些 升级 功能 ， 直 接 在 管理 服务 器 窗口 中 启动 安装 向 导 即 可 轻松 安装 。 
为 了 确保 安装 过 程 顺利 进行 ， 开 始 之 前 应 做 好 如 下 准备 工作 : 


里 将 计算 机 加 入 到 域 ， 或 者 提升 为 域 的 额外 域 控制 器 ， 或 者 子 域 ; 

里 使 用 具有 域 用 户 帐户 登录 ， 但 不 能 使 用 Administrator 帐户 登录 ; 

到 安装 IIS 服务 和 ASPNet 组 件 ; 

下 安装 MSMQ (消息 队列 ) 服务 ; 

下 选择 数据 库 。 如 果 要 使 用 独立 数据 库 ， 需 要 安装 SQL Server。 和 否则 ， 可 使 用 AD RMS 
的 自 带 数 据 库 ; 

和 安装 之 前 ,确认 http://uddi.microsoft.com 和 https://uddi.microsoft.com 在 Internet Explorer 
中 被 添加 至 “受信 任 的 站 点 ”或 “本 地 Intemet 。 


8.3.2 安装 AD RMS 服务 器 


AD RMS 服务 并 不 是 Windows Server 2008 系统 默认 安装 的 组 件 ， 需 要 用 户 手 动 添加 。 完 
成 必要 的 准备 工作 后 ， 即 可 开始 安装 AD RMS 服务 器 。 另 外 ， 用 户 也 可 以 直接 安装 AD RMS 
服务 器 如果 安 装 向 导 检测 到 未 安装 的 组 件 , 会 提示 用 户 ,此 时 通过 选择 相关 命令 即 可 一 并 完 
成 准备 组 件 的 部 署 。 


01 依次 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”命令 ， 打 开 “ 服 务 器 管理 器 ”窗口 ， 在 左 侧 窗 格 
中 选择 “角色 ”命令 , 在 右 侧 窗 格 中 选择 “添加 角色 ”命令 , 显示 “选择 服务 器 角色 ”对 话 框 选中 “Active 
Directory Rights Management Services” 复 选 框 ， 提 示 是 否 添加 所 需 的 角色 服务 和 功能 。 如 果 在 此 之 
前 ， 已 经 完成 各 项 准备 工作 ， 则 不 会 显示 该 对 话 框 ， 如 图 8.27 所 示 。 


及 鞭 择 服务 器 角色 
m2 人 
FEETEEEEEEEEEE Se: 
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Ew 钥 超 
iT 于 入 
I 
3 
EE 
E24 
加 7 要 要 这 过 有 站 有 务 和 能 4 


图 8.27 选择 服务 器 角色 


提示 操作 之 前 应 将 使 用 的 与 用 户 帐户 添加 到 本 地 计算 机 的 “Administrators 组 ”中 。 不 
县 能 使 用 Administrator 用 户 帐户 登录 ， 否 则 就 会 显示 如 图 8.28 所 示警 告 框 ， 提 示 无 
法 安装 。 
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图 8.28 更 改 登录 帐户 


0 2 单 击 “ 添 加 必需 的 角色 服务 ”按钮 ， 选中 “Active Directory Rights Management Services” 复 选 框 。 单 
击 “ 下 一 步 ” 按钮， 简要 介绍 Active Directory 权限 管理 服务 的 作用 以 及 功能 。 单 击 “ 下 一 步 ”按钮 ， 
显示 如 图 8.29 所 示 “ 选 择 角色 服务 ”对 话 框 。 如 果 选 中 “联合 身份 验证 支持 ” 复 选 框 ， 将 同时 安装 AD 
FS 或 与 当前 域 中 已 有 的 AD FS 关联 使 用 , 它 允 许 用 户 使 用 当前 域 和 其 他 域 之 间 经 过 联合 身份 验证 的 信 
任 关系 来 建立 用 户 标识 ， 以 及 提供 对 其 他 组 织 创 建 的 受 保护 信息 的 访问 权限 。 不 需要 联合 身份 验证 的 用 
户 建议 不 要 选择 该 复 选 框 。 


图 8.29 “选择 角色 服务 ”对 话 框 


03 依次 单 击 “ 下 一 步 ” 按钮， 设置 AD RMS 群集 选项 和 数据 库 选 项 ， 如 图 8.30 所 示 。 在 “创建 或 加 入 AD 
RMS 群集 ” 对 话 框 中 , 系统 默认 选择 “新 建 AD RMS 群集 ” 单 选 按钮 ,由 于 当前 域 中 没有 其 他 AD RMS 
群集 可 供 加 入 ， 所 以 “加 入 现 有 AD RMS 群集 ” 单 选 按钮 为 灰色 。 安 装 完成 后 创建 的 第 一 台 AD RMS 
服务 器 即 为 根 群 集 ， 后 来 加 入 的 AD RMS 服务 器 为 叶 服 务 器 。“ 选 择 配 置 数据 库 ” 对 话 框 。 如 果 网 络 中 
安装 了 SQL Server 服务 器 ， 可 选择 “使 用 其 他 数据 库 服务 器 ” 单 选 按钮 ， 如 果 要 使 用 AD RMS 自 带 的 
数据 库 ， 选 择 “ 在 此 服务 器 上 使 用 Windows 内 部 数据 库 ” 单 选 按钮 即 可 。 
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05 依次 单 击 “ 下 一 步 ” 按钮 ， 设 置 群 集 密 钥 存储 方式 和 群集 密 钥 密 码 ， 如 
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EI EEC  J 
语 创 娃 或 加入 AD RIS 各 入 及 直至 配置 数据库 

a Ps Ei a RezN pre, hlan oren Nine 
Ne | esate ney 


ssw su | wm 


图 8.30 配置 AD RMS 群集 和 数据 库 


04 单 击 “ 下 一 步 ”按钮 , 显示 如 
群集 中 


8.31 所 示 “ 指 定 服务 
h 使 用 的 帐户 , 可 使 用 普通 域 成 员 帐 户 , 但 必须 区 别 于 当前 服务 器 登录 的 域 用 户 帐户 。 单 击 “ 指 定 ” 
按钮 ， 显 示 “Windows 安全 ”对 话 框 ， 输 入 域 用 户 帐户 。 单 击 “ 确 定 ”按钮 ， 域 控制 器 会 对 提交 的 用 
户 帐户 和 密码 进行 验证 ， 如 果 正 确 无 误 则 返回 “指定 服务 帐户 ”对 话 框 。 


-至 a 
座 指定 服务 帐户 


ET 
二 人 
me 有 fa 


发 户 ” 对 话 框 。 该 服务 帐户 也 就 是 将 来 要 在 AD RMS 


式 上 一步 人 ) 2 2 二 可 职 帮 
8.31 “指定 服务 帐户 ”对 话 框 


8.32 所 示 。 在 “配置 AD RMS 
管理 的 键 存储 ” 单 选 按钮 ， 即 由 本 地 服务 


群集 键 存储 ”对 话 框 


Ph， 系 统 默 认 选择 “使 用 AD RMS 集 


器 自动 生成 并 存储 密 钥 ， 这 里 选择 该 项 ， 该 密 钥 主要 用 于 当前 根 服务 器 以 及 将 来 叶 服务 器 的 灾难 恢复 ， 
必须 牢记 。 在 “指定 AD RMS 群集 密 钥 密码 ”对 话 框 中 ， 其 他 AD RMS 服务 器 加 入 群集 时 也 要 使 用 此 
密码 ， 必 须 妥善 保存 。 
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图 8.32 设置 群集 键 存储 方式 和 群集 密 钥 密码 


06 依次 单 击 “ 下 一 步 ” 按钮， 设置 群集 站 点 、 地 址 和 证 书 名 称 ， 如 


网 站 ”对 话 框 中 ， 设 置 管理 AD RMS 群集 服务 器 时 使 用 的 站 点 ， 


8.33 所 示 。 在 “选择 AD RMS 群集 
保持 默认 即 可 。 在 “指定 群集 地 址 ” 


对 话 框 中 ,选择 “使 用 未 加 密 的 连接 ” 单 选 按钮 ， 使 用 普通 传输 方式 ,输入 域名 ， 并 单 击 “ 验 证 ”按钮 ， 
确认 不 与 其 他 站 点 冲突 。 在 “命名 服务 器 许可 方 证 书 ” 对 话 框 中 ， 系 统 默 认 会 以 计算 机 名 命名 证 书 ， 保 


持 默 认 即 可 。 
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图 8.33 设置 群集 站 点 、 地 址 和 证 书 名 称 
0 7 依次 单 击 “下 一 步 ” 按钮， 注册 服务 连接 点 并 天 


f 始 安装 ， 直 至 


装 完 成 ， 如 医 


RMS 服务 连接 点 ”对 话 框 中 ， 选 择 “ 立 即 注册 AD RMS 服务 连接 点 ” 单 选 


始 使 用 此 AD RMS 群集 。 


8.34 所 示 。 在 “注册 AD 
按钮 ， 在 安装 完成 后 立即 开 
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人 Nindows Se 
Windows 


图 8.34 安装 完成 
08 单 击 “ 关 闭 ” 按钮 ， 退 出 安装 向 导 。 根 据 提示 信息 ， 注 销 当 前 系统 并 重新 登录 。 


8.3.3 配置 AD RMS 服务 器 


AD RMS 采用 MMC 控制 台 管理 的 方式 ， 提 供 权限 管理 服务 之 前 必须 进行 简单 配置 ， 如 
创建 信任 策略 权限 模板 等 。 选择“ 开始 ”一 “管理 工具 ”一 “Active Directory Rights Management 
Services” 命 令 ， 打开 “AD RMS 控制 台 ” 窗 口 ， 如 图 8.35 所 示 。 如 果 选 择 SSL 加 密 连接 的 方 
式 ， 则 在 此 过 程 中 可 能 会 出 现 “ 安 全 警报 ”提示 框 ， 直 接 单 击 “ 是 ”按钮 跳 过 即 可 。 


8.35 AD RMS 控制 台 


1. 配置 信任 策略 


信任 策略 是 不 同 AD RMS 群集 或 不 同 域 林 中 的 AD RMS 服务 器 之 间 建 立信 任 关 系 的 唯一 
标准 ， 主 要 包括 “受信 任 的 用 户 域 ”和 “受信 任 的 发 布 域 ”。 
(1) 受信 任 的 用 户 域 
默认 情况 下 , 只 有 受信 任 的 用 户 域 才 可 以 使 用 当前 AD RMS 服务 器 提供 的 权限 保护 服务 ， 
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不 同 AD RMS 群集 或 不 同 林 中 的 RMS 服务 器 都 是 通过 彼此 的 许可 证 书 来 识别 的 。 用 户 可 以 通 
过 将 其 他 AD RMS 群集 中 的 信任 用 户 域 导 出 并 添加 至 本 地 服务 器 中 ， 来 实现 对 其 他 用 户 提供 
权限 管理 服务 。 导 出 的 信任 用 户 域 文件 中 会 包括 原 AD RMS 服务 器 的 许可 证 信息 ， 因 此 建立 
信任 关系 后 ， 来 自 该 域 的 用 户 就 可 以 使 用 当前 AD RMS 服务 器 提供 的 使 用 许可 证 。 


01 在 AD RMS 控制 全 窗口 中 ， 依 次 选择 “信任 
策略 ”一 “受信 任 的 用 户 域 ”命令 ， 显 示 如 
司 8.36 所 示 “ 受 信任 的 用 户 域 ” 窗 口 。 在 “ 受 
信任 的 用 户 域 信息 ”列表 中 默认 显示 的 是 本 了 - 
用户 域 ， 右 击 并 选择 快捷 菜单 中 的 “属性 ”| 汪 3 TI 
命令 即 可 查看 其 详细 信息 。 NN re 
2 在 右 侧 的 “操作 ” 栏 中 , 单 击 “ 导 入 受信 任 的 和 
户 域 ”链接 ， 在 “受信 任 的 用 户 域 文件 ” 
文本 框 中 输入 文件 的 保存 路 径 ， 或 单 击 “ 浏 


IE | 
国人 i Lagi 
上 种 号 入 划 们 侍 的 用 户 做 


tives ive 


览 ” 按 钮 选择 ， 在 “显示 名 称 ” 文 本 框 中 ， 有 

输入 该 用 户 将 在 列表 中 显示 的 名 称 ， 用 来 进 | 

行 标识 。 es E 
03 单 击 “ 完 成 ”按钮 ， 即 可 完成 用 于 域 的 添加 。 图 8.36 受信 任 的 用 户 域 


重复 操作 ， 可 添加 多 个 受信 任 的 用 户 域 。 


注意 在 “受信 任 的 用 户 域 信息 ”列表 中 ， 右 击 域 选项 ,在 弹出 的 快捷 菜单 中 选择 “导出 
受信 任 的 用 户 域 ” 命令 , 还 可 以 将 其 导出 ， 以 备 本 地 恢复 使 用 ,也 可 以 导入 到 其 他 
AD RMS 群集 中 ， 用 于 接受 其 他 AD RMS 服务 器 的 权限 许可 证 。 


(2) 受信 任 的 发 布 域 


在 AD RMS 控制 台 窗口 中 ， 单 击 “ 受 oe 
信任 的 发 布 域 ” 显 示 如 图 8.37 所 示 “ 受 信任 i 二 = 
的 发 布 域 » 窗 口 人 [ 梧 导入 、 导 出 各 收 次 此 苹 集 的 受信 任 的 发 布 十。 [Er 

受信 任 的 发 布 域 用 于 定义 哪些 AD | :3 | Eee | 
RMs 群集 发 布 的 许可 证 受到 此 妊 集 的 信任 ， | | 和 和 


四 出 


与 受信 任 的 用 户 域 恰 愉 相 反 , 列表 中 默认 存 |" 
在 的 是 本 地 服务 器 的 记录 。 受 信任 的 发 布 域 
文件 的 导出 和 导入 与 受信 任 的 用 户 域 文件 
类 似 , 不 同 的 是 发 布 域 文件 的 美 型 为 XML， 
其 中 包括 将 要 信任 的 AD RMS 服务 器 许可 
方 证 书 、 群 集 密 乌 和 模板 等 信息 。 另外 , 发 上 | 
布 域 文件 本 身 是 受 密码 保护 的 ， 导 入 时 必须 图 837 受信 任 的 发 布 
输入 原 AD RMS 服务 器 上 使 用 的 存储 密码 。 
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2. 配置 权限 策略 模板 
(1) 创建 权限 策略 模板 


机 密 程度 不 同 的 文档 发 布 到 客户 端 后 设置 的 权限 也 有 所 不 同 , 此 时 需要 为 该 文档 应 用 不 同 
级 别 权限 的 策略 模板 。 权限 策 略 模板 是 为 定义 用 户 的 权限 策略 用 的 , 管理 员 可 以 通过 定制 一 些 
现成 的 策略 模板 让 企业 用 户 直接 调用 。 


ne 


Ee xa 


图 8.38 ”分布 式 权限 策略 模板 

2 单 击 “ 操 作 ” 栏 中 的 “创建 分 布 式 权限 策略 模板 ”链接 ， 启 动 创建 向 导 ， 在 “添加 模板 标识 信息 ”对 话 框 中 ， 
单 击 “ 添 加 ”按钮 ， 显 示 如 图 8.39 所 示 “ 添 加 新 的 模板 标识 信息 ”对 话 框 。 在 “名 称 ”文本 框 中 输入 新 建 
模板 的 名 称 ,“ 拱 述 ” 文 本 框 中 输入 相关 描述 信息 。 单 击 “ 添 加 ”按钮 ， 将 其 添加 至 “模板 标识 ”列表 中 。 


:3 pom 9 
1 国 
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图 8.39 “添加 新 的 模板 标识 信息 ”对 话 框 
提示 “语言 "文本 框 是 专 为 使 用 不 同 语言 的 客户 端 设置 的 ,如 果 客 户 端 只 支持 英文 显示 ， 
\ 刻 则 可 以 在 “添加 模板 标识 信息 ”对 话 框 中 再 次 单 击 “ 添 加 ”按钮 ， 并 选择 “英文 ” 
语言 即 可 。 需要 注意 的 是 ,要 想 使 选择 的 语言 生效 ,必须 先 在 服务 器 上 安装 该 语言 


03 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 8.40 所 示 “ 添 加 用 户 权限 ”对 话 框 ， 默 认 情况 下 “用 户 和 权限 ”列表 
是 空 的 ， 即 只 选中 “授予 所 有 者 不 会 过 期 的 完全 控制 权限 ” 复 选 框 ， 其 他 用 户 帐户 没有 任何 权限 。 单 击 
“添加 ”按钮 ， 在 “添加 用 户 或 组 ”对 话 框 中 ， 选 择 “ 用 户 或 组 的 电子 邮件 地 址 ” 单 选 按钮 ， 即 可 在 下 
面 的 文本 框 中 输入 用 户 对 应 电子 邮件 地 址 ， 也 可 以 单 击 “浏览 ”按钮 ， 打 开 “ 选 择 用 户 或 组 ”对 话 框 ， 
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直接 从 当前 域 控制 器 中 查找 添加 。 如 果 选择 “任何 人 ” 单 选 按钮 ， 对 当前 域 中 的 所 有 用 户 帐户 有 效 。 
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图 8.40 添加 用 户 权限 


注意 ”如果 要 添加 用 户 , 应 事先 在 域 控制 器 上 , 打开 用 户 属性 对 话 框 , 为 用 户 添加 电子 邮 
件 地 址 。 同 样 ， 如 果 要 添加 用 户 组 ， 也 要 打开 用 户 组 属性 ， 添 加 电子 邮件 地 址 。 


04 单 击 “ 确 定 ” 按钮， 将 所 选用 户 添加 至 列表 中 。 重 复 操作 ， 可 添加 多 个 用 户 或 组 的 电子 邮件 地 址 。 然 后 ， 


在 “用 户 和 权限 ”列表 中 ， 选 择 赋予 用 户 的 权限 ， 例 如 ， 要 求 做 到 “禁止 复制 ” 只 选中 “查看 权限 ” 
复 选 框 即 可 。 


注意 “权限 列表 中 给 出 的 所 有 权限 都 是 允许 的 , 即 只 要 选择 某 项 , 就 表示 要 赋予 用 户 相应 


LS 的 权限 。 如 果 模 板 赋予 用 户 的 权限 无 法 完成 相应 工作 ,或 在 模板 权限 规定 的 时 间 和 
日 期 内 没有 完成 工作 ， 则 可 以 通过 “权限 请 求 URL” 选 项 ， 向 管理 员 发 出 权限 请 
求 ， 以 再 次 获得 权限 或 附加 权限 。 


05 单 击 “下 一 步 ” 按钮 ， 显 示 如 图 8.41 所 示 “ 指 定 过 期 策略 ”对 话 框 。 在 “内 容 有 效 期 限 ” 命 令 区 域 中 ， 
可 以 定义 当前 模板 中 的 权限 信息 何 时 过 期 或 有 效 期 限 等 ， 默 认为 “ 永 不 过 期 "。 内 容 过 期 后 ， 如 果 仍 需 
要 使 用 该 策略 信息 ， 必 须 重新 发 布 一 次 。 


ERTETTEG 


FO) 


rare sv 可 
UFREG GD [me| 


a 
厂 STREN GI Mm [| 


《上 -区 四 | Sm> 了 


图 8.41 “指定 过 期 策略 ”对 话 框 
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06 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 8.42 所 示 “ 指 定 扩展 策略 ”对 话 框 。 


“使 用 户 能 够 使 用 浏览 器 加 载 项 查看 受 保护 的 内 容 ”: 该 项 对 于 没有 安装 Office 的 客户 

端 是 非常 实用 的 ， 只 需 安装 相关 插件 即 可 在 浏览 器 中 查看 受 RMS 保护 的 Office 文档 ， 

建议 选择 该 项 ; 

“每 次 使 用 内 容 时 需要 更 新 使 用 许可 证 (禁用 客户 端 缓存 )”: 该 项 虽然 可 以 使 被 保护 文 

档 更 安全 ， 但 客户 端 每 次 使 用 时 就 会 非常 繁琐 ; 

“如 果 您 要 为 其 用 AD RMS 的 应 用 程序 指定 其 他 信息 ， 则 可 以 在 此 处 以 名 称 - 值 对 的 形 

式 指定 : 选中 该 复 选 框 ， 可 在 下 面 的 列表 中 添加 特定 应 用 程序 需要 的 名 称 和 权限 值 ， 

普通 用 户 无 需 设置 。 

07 单 击 “ 下 一 步 ” 按钮 ， 显 示 如 图 8.43 所 示 “ 指 定 吊销 策略 ”对 话 框 。 吊 销 是 AD RMS 的 一 项 重要 功能 ， 
实施 吊销 之 前 必须 先 手动 创建 一 个 吊销 列表 ， 并 为 每 个 吊销 列表 生成 一 个 公 钥 / 私 钥 对 ， 然 后 使 用 私 钥 


签署 吊销 列表 ; 另外 , 还 必须 为 吊销 列表 指定 一 个 用 户 可 以 访问 的 URL 地 址 或 UNC 路 径 。 通常 情况 下 ， 
不 需要 AD RMS 服务 器 吊销 ， 即 不 选择 该 复 选 框 。 


0 SA NE B) 


"et 


PE 


sr Wy 


-四 | Fsm)| [Ey] 有 Ws 2 so E77 8 | 


8.42 “指定 扩展 策略 ”对 话 框 图 8.43 “指定 吊销 策略 ”对 话 框 
08 单 击 “ 完 成 ”按钮 ， 退 出 创建 向 导 ， 返 回 “ 权 限 策略 模板 ”窗口 。 新 创建 的 模板 已 经 出 现在 列表 中 ， 此 
时 虽然 已 经 创建 成 功 ， 但 并 不 能 立即 应 用 。 
0 9 右 击 新 创建 的 策略 模板 ， 在 弹出 的 快捷 菜单 中 选择 “存档 此 分 布 式 权限 策略 模板 ”命令 ， 将 其 本 地 存档 ， 
显示 如 图 8.44 所 示 “ 存 档 权 限 策略 模板 ”对 话 框 。 提 示 一 旦 保存 后 ， 将 不 能 再 分 发 或 导出 该 模板 。 单 
击 “ 是 ”按钮 保存 即 可 。 至 此 ， 新 创建 的 权限 策略 模板 才 可 以 保存 到 本 地 模板 库 中 备用 。 
0 返回 “分 布 式 权限 策略 模板 ”窗口 ， 单 击 “ 管 理 存档 的 权限 策略 模板 ”链接 ， 所 有 已 存档 的 策略 模板 即 
可 显示 在 “公布 式 权限 策略 模板 ”列表 框 中 ， 管 理 员 可 以 继续 修改 和 查看 其 各 项 属性 信息 。 如 图 8.45 
所 示 是 新 建 策略 模板 的 权限 摘要 。 
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存档 权限 策略 模板 习 


© Pe 


您 确定 要 存档 此 权限 第 略 模 板 I3? 


是 外 


图 8.44 “存档 权限 策略 模板 ”对 话 框 


(2) 分 发 权限 策略 模板 


客户 端 必须 将 服务 器 上 创建 的 权限 策略 模板 保存 到 本 地 计算 机 才 可 以 使 用 , 可 以 通过 文件 
共享 、 网 络 传输 、 移 动 存储 介质 等 方式 获得 。 默 认 情况 下 ， 权 限 策略 模板 的 保存 位 置 为 “未 设 
置 ”为 了 便于 保存 和 用 户 使 用 ,应 在 群集 中 指定 一 个 公共 文件 夹 ， 用 于 保存 所 有 的 策略 模板 。 


01 在 “权限 策略 模板 ”窗口 中 ， 单 击 “ 操 作 ” 栏 中 的 “管理 分 布 式 策略 模板 ”链接 ， 在 “分 布 式 权限 策略 
模板 ”窗口 下 方 单 击 “ 更 改 分 布 式 权限 策略 模板 文件 位 置 ”链接 ， 打 开 如 图 8.46 所 示 “ 权 限 策略 模板 ” 
对 话 框 。 选 择 “启用 导出 ” 复 选 框 ， 在 “指定 模板 文件 位 置 ”文本 框 中 输入 已 经 设置 好 的 共享 文件 来 路 
径 。 注 意 ， 这 里 必须 使 用 UNC 格式 ， 并 且 确 定 已 经 为 指定 用 户 帐户 赋予 了 写 入 权限 。 
0 .2 设置 完成 后 单 击 “ 确 定 ”按钮 。 然 后 ， 单 击 “ 管 理 存档 权限 策略 模板 ”链接 ， 选 择 想 要 分 发 的 模板 ， 右 
击 并 选择 快捷 菜单 中 的 “分 发 此 权限 策略 模板 ”命令 ， 显 示 如 图 8.47 所 示 “ 分 发 权限 策略 模板 ”对 话 
框 。 提 示 分 发 之 后 ， 用 户 便 可 以 使 用 此 模板 发 布 新 内 容 。 


权限 第 四 模板 对 


分 发 权限 策略 模板 过 | 


秆 名 


全 下 模板 之 后 ， 用 户 便 能 够 使 用 此 模板 发 布 新 内 
您 确定 要 分 发 此 权限 第 略 模 株 思 ? 


取消 [sa Ei 是 | [可 
图 8.46 “权限 策略 模板 ”对 话 框 图 8.47 分 发 权限 策略 模板 


3 单 击 “ 是 ”按钮 确认 即 可 。 
注意 “如果 模板 是 从 另 一 台 RMS 服务 器 迁移 到 此 RMS 服务 器 ， 在 使 用 该 模板 之 前 ， 必 
得 须 由 此 服务 器 签署 ， 然 后 重新 分 发 到 客户 端 。 
(3 ) 撤销 权限 策略 模板 


当 某 个 权限 策略 模板 不 再 适用 时 ， 可 以 将 其 删除 。 删 除权 限 策略 模板 时 ， 同 时 应 删除 用 户 计 
算 机 上 的 该 模板 ， 以 便 用 户 试图 使 用 由 已 撤销 的 权限 策略 模板 发 布 的 内 容 时 不 会 出 现 问题 。 当 作 
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者 使 用 权限 策略 模板 发 布 内 容 时 ， 该 发 布 请 求 将 被 发 送 到 RMS 服务 器 。RMS 将 使 用 数据 库 中 存 
储 的 该 权限 策略 模板 的 副本 来 响应 该 请 求 。 如 果 数 据 库 中 不 存在 该 权限 策略 模板 ， 请 求 将 失败 。 


(4) 备份 和 恢复 权限 策略 模板 


要 保护 重要 的 权限 策略 模板 , 可 以 将 配置 数据 库 中 的 模板 数据 定期 备份 到 媒体 中 , 并 将 该 
媒体 存放 到 安全 的 地 方 。 这样 ， 当 系统 发 生 故 障 时 , 管理 员 就 可 以 使 用 备份 的 副本 来 恢复 权限 
策略 模板 。 


3. 配置 权限 帐户 证 书 策略 


权限 帐户 证 书 (RAC) 是 AD RMS 服务 器 颁发 给 每 个 客户 的 认证 凭证 ， 该 证 书 将 用 户 帐户 与 
一 个 受 保护 的 密 钥 对 关联 ， 而 密 钥 对 则 专用 于 用 户 的 计算 机 。 用 户 可 以 通过 这 些 证 书 来 发 布 和 使 
用 受 AD RMS 保护 的 内 容 。 每 个 证 书 都 包含 一 个 公 钥 ， 以 向 用 户 授予 使 用 相关 信息 的 权限 。 

打开 “AD RMS 控制 台 ” 窗 口 ， 在 左 侧 栏 中 选择 “权限 帐户 证 书 策略 ”命令 ， 显 示 如 图 
8.48 所 示 “ 权 限 帐户 证 书 策略 ”窗口 。 


bus 地 


图 8.48 “权限 帐户 证 书 策略 ”窗口 


提示 “权限 帐户 证 书 根据 有 效 期 的 长 短 和 应 用 环境 的 不 同 ,可 分 为 标准 RAC 和 临时 RAC。 

\ 六 标准 RAC 的 默认 有 效 期 限 是 365 天 ， 通常 应 用 于 固定 用 户 的 计算 机 上 ; 临时 RAC 
的 默认 有 效 期 限 为 15 分 钟 ， 主 要 是 为 了 方便 用 户 在 不 同位 置 都 可 以 使 用 受 AD 
RMS 保护 的 文档 。 


权限 帐户 证 书 的 有 效 期 限 可 以 根据 实际 需要 更 改 。 单 击 “ 更 改 标准 RAC 有 效 期 ”链接 ， 
显示 如 图 8.49 所 示 “ 权 限 帐户 证 书 策略 ”对 话 框 ， 在 “标准 RAC 的 有 效 期 (天 )” 文 本 框 中 
键入 合适 数值 即 可 ， 有 效 期 的 范围 是 1~9 999 天 。 
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让 限 相 户 证 第 有 六 
二 | mc] 


标 :全 权限 帐 产 正 蔬 Qc 有效 其 可 以 是 介 于 1 到 3,999 天 的 站 * 


标准 Mc 的 有 效 期 天) G) [ss 习 


孙 | _ 5859 | 病 
图 8.49 “权限 帐户 证 书 策略 ”对 话 杠 


8.3.4 AD RMS 客户 端 部 署 及 应 用 


AD RMS 服务 安装 并 配置 完成 以 后 ， 即 可 将 需要 接受 AD RMS 管理 的 客户 端 加 入 域 ， 并 
部 署 AD RMS 客户 端 。 在 Windows Vista 系统 中 , RMS 客户 端的 名 称 已 更 改 为 Active Directory 
权限 管理 服务 (AD RMS ) 客户 端 ， 并 且 已 集成 到 操作 系统 中 ， 因 此 不 需要 独立 的 安装 。 在 早 
于 Windows Vista 的 Windows 操作 系统 版 本 中 ，RMS 客户 端 组 件 仍 需要 独立 下 载 和 安装 。 目 
前 最 新 版 本 为 SP2 简体 中 文 版 下 载 地 址 为 : 

http://www.microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=02da$107-29 
19-414b-a5a3-3102c7447838 


提示 “管理 员 还 可 以 通过 组 策略 、SMS、SCCM 等 方式 来 向 客户 端 统一 分 发 客户 端 安装 
\ 洱 程序。 如果 容 户 端 数量 软 少 ， 则 可 以 通过 手动 安装 的 方式 实现 。 


1. 在 Windows 2000/XP 系统 中 安装 RMS 客户 端 


AD RMS 客户 端 安装 过 程 非常 简单， 此 处 不 psn 
做 详细 介绍 。 需 要 注意 的 是 ， 更 换 登录 的 域 用 户 | sa 


帐户 后 , 应 重新 运行 客户 端 安装 向 导 , 并 选择 “ 修 eBwmwiw 一 BEBE 
复 带 Service Pack 2 的 Windows Rights 四 ss 内 | 可 


已 1XH 


Management 客户 端 ” 单 选 按 钮 。 客 户 端 需要 将 es 
服务 器 上 创建 并 保存 的 权限 策略 模板 拷贝 到 自 ‖ 天 于 . 


己 的 计算 机 上 才 可 以 使 用 ， 另 外 还 需要 在 注册 表 | 3 

中 做 相应 修改 。 

0 1 通过 网 络 共享 或 移动 存储 设备 , 将 AD RMS 服务 器 | 
上 存储 的 权限 策略 模板 ,复制 到 本 地 计算 机 上 ,如 = TT FT 
图 8.50 所 示 。 图 8.50 获取 权限 策略 模板 
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0 2 打开 注册 表 编 辑 器 ， 并 依次 展开 如 下 分 支 : 


HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Common\DRM 
在 右 侧 窗口 空白 处 单 击 鼠 标 右键 ， 依 次 选择 “新 建 ” 一 “字符 串 值 ” 新建 一 个 字符 串 值 项 目 (如 图 8.51 


所 示 ) 。 


3 将 新 创建 的 字符 囊 值 命名 为 “AdminTemplatePath”， 然 后 双 


6 该 对 象 显示 如 图 8.52 所 示 “ 编 辑 字符 串 ” 


对 话 框 ， 指 定 该 对 象 的 数值 数据 为 本 地 计算 机 上 保存 要 应 用 的 权限 策略 模板 的 路 径 。 这 里 ， 将 要 保存 在 


E 盘 根 目 录 下 ， 因 此 ， 输 入 “e: \” 即 可 。 


FET 回回 因 
Er TE 六 疝 四 要 昌 4 站 和 
加 offi 四 下 
日 自 A 5 5。 的 人 未 设 和 
CachedroryLicenseServer E587 Mtp://hse 


臣 的 电 庙 WY_CUREENT_ISER\S of ere \Ni erose ft\OEEi ee\t 0\Comnen VII 


EP 


图 8.51 创建 字符 囊 值 对 象 


8.52 编辑 字符 囊 值 


04 单 击 “ 确 定 ” 按 钮 保存 设置 并 关闭 注册 表 编辑 器 窗口 。 打 开 欲 应 用 此 策略 模板 的 受 保护 文档 ， 打 开 “ 文 
件 ”菜单 中 的 “权限 ”选项 ， 此 时 ， 会 发 现 级 联 菜单 中 多 出 了 一 个 可 选项 ， 即 “禁止 拷贝 ”， 如 图 8.53 


所 示 。 


05 选 定 相应 策略 模板 后 ， 共 享 工作 区 中 会 显示 如 图 8.54 所 示 “ 受 限 权限 ”等 信息 。 授 权 人 信息 默认 是 本 
地 登录 帐户 ， 当 然 管理 员 也 可 以 在 建立 到 服务 器 的 连接 时 指定 为 其 他 用 户 ， 或 直接 单 击 “ 更 改 用 户 ” 链 


接 随时 更 改 。 本 例 是 Ihn@coolpen.net (所 用 模板 针对 的 用 户 为 tl@coolpen.net 


mm NR TA IT 
py 中 


(re 


图 8.53 禁止 捞 贝 


EECEOETIEI IT 
mm 型 可 3 


不 


ed) 
Er rr 3 1 | Wi 1 3 机 人 加 |， 闻 


图 8.54 成功 应 用 权限 策略 模板 


06 单 击 共享 工作 区 中 的 “更 改 权 限 ” 链 接 , 可 以 查看 当前 用 户 帐户 对 该 文档 拥有 的 控制 权限 , 显示 如 图 8.55 


所 示 对 话 框 。 由 了 
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ON Td I 
I 下 必 
i BE ES = 加 


se FN a 5 0 
1 15 HN 3 NW FH SS PI) 加 。 


图 8.55 ”当前 用 户 权限 


2. 在 Windows Vista 系统 中 配置 AD RMS 客户 端 


Windows Vista 系统 默认 已 经 集成 AD RMS 客户 端 ， 用户 只 需 进 行 相应 配置 即 可 使 用 。 在 
Windows 2000/XP 系统 中 安装 RMS 客户 端 之 后 ,同样 需要 进行 如 下 配置 ,这 里 以 Windows Vista 
系统 中 的 Office Word 2007 为 例 加 以 介绍 。 

使 用 AD RMS 服务 器 上 策略 模板 中 希望 限制 的 域 用 户 帐户 登录 客户 端 计 算 机 , 如 图 8.56 所 示 。 
由 于 该 用 户 帐 户 需要 在 本 地 计算 机 上 保存 策略 模板 ， 所 以 必须 拥有 对 目标 文件 夹 的 写 入 权限 。 


图 8.56 有 登录 到 客户 端 


”注意 默认 情况 ， 当 前 登录 的 域 用 户 帐户 将 自动 被 添加 到 本 地 的 Users 组 中 ， 因 此 只 需 确 
得 保 该 组 具有 足够 的 操作 权限 即 可 。 


通过 网 络 共享 或 移动 存储 设备 ， 将 AD RMS 服务 器 上 存储 的 权限 策略 模板 ， 复 制 到 本 地 
计算 机 上 ， 并 在 注册 表 中 修改 相应 键 值 ， 与 Windows XP 系统 完全 相同 ， 此 处 不 复 资 述 。 应 用 
过 程 也 比较 简单 ,打开 和 欲 应 用 此 策略 模板 的 受 保护 文档 (以 Office Word 2007 为 例 ), 单 击 “Office 
按钮 ”并 依次 选择 “准备 ”一 “限制 权限 ”选项 ,此 时 ,会 发 现 级 联 菜单 中 多 出 了 一 个 可 选项 ， 
即 “ 禁 止 复制 ” 如 图 8.57 所 示 。 
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图 8.57 限制 权限 
3. 受 限 客户 端 应 用 被 保护 文档 


AD RMS 策略 模板 主要 是 为 了 限制 某 些 客户 端 针对 文档 享有 的 权限 ， 因 此 当 这 些 受 限 客 
户 端 应 用 被 保护 文档 时 ， 必 须 连接 到 AD RMS 服务 器 进行 凭据 验证 ， 并 下 载 相应 权限 许可 证 
才 可 以 打开 。 这 里 ， 仍 以 上 述 应 用 为 例 进行 介绍 。 


01 当 用 户 Ihn@coolpen.net 创建 好 的 文档 ， 应 用 了 限制 用 户 t@coolpen.net 复制 和 更 改 的 权限 ， 当 用 户 
ti@coolpen.net 拿 到 文档 并 查看 时 ， 会 显示 如 图 8.58 所 示 提 示 框 。 

0 2 单 击 “ 确 定 ” 按 钮 ， 客 户 端 开始 向 AD RMS 服务 器 提交 身份 验证 ， 并 获得 相应 的 权限 ， 最 终 打开 文档 , 
显示 如 图 8.59 所 示 窗口 。 不 过 此 时 ， 文 档 是 “只 读 ” 状 态 ， 并 且 不 允许 用 户 执行 “复制 ”命令 ， 或 按 
下 PrtScmn 键 抓 取 屏幕 ， 这 是 因为 当前 被 保护 文档 应 用 的 权限 策略 模板 已 经 屏蔽 了 Windows 的 这 些 功 
能 ， 关 闭 受 保护 文档 则 一 切 恢复 正常 ， 用 户 使 用 时 应 注意 。 


RS TF. 


8.58 受 限 用 户 打开 被 保护 文档 图 8.59 文档 处 于 “只 读 ” 状 态 


03 单 击 “ 查 看 我 的 权限 ”链接 ， 打 开 “ 我 的 权限 ”对 话 框 ， 其 中 只 有 “查看 ”一 项 处 于 “是 ”状态 ， 其 他 
均 为 “ 否 ”。 单 击 “更 改 用 户 ”按钮 ， 打 开 “选择 服务 ”对 话 框 ， 如 果 当 前 拥有 的 权限 无 法 正常 完成 工 
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作 , 可 以 在 这 里 选择 其 中 一 种 方式 添加 其 他 有 足够 权限 的 用 户 帐户 .选择 “使 用 Microsoft .NET Passport 
帐户 ” 单 选 按钮 ， 可 以 凭借 有 效 的 Microsoft .NET Passport 帐户 从 Microsoft 获得 一 个 证 书 ， 实 现 相 应 
目的 , 这 与 AD RMS 服务 器 的 设置 有 关 ， 如 果 添 加 了 .NET Passport 类 型 的 可 信任 用 户 域 ， 客 户 端 可 以 


使 用 这 种 方式 ， 否 则 无 效 。 选 择 “使 用 Microsoft Windows 帐户 ” 单 选 按钮 ， 即 可 从 当前 域 中 选择 其 他 
用 户 帐户 来 完成 相应 操作 ， 如 图 8.60 所 示 。 


如 果 上 述 方法 仍 不 能 获得 相应 权限 ,可 以 在 “我 的 权限 ” 对话 框 中 , 单 击 “ 申 请 附加 权限 ” 
连接 ， 向 AD RMS 服务 器 申请 相关 权限 ， 打 开 如 图 8.61 所 示 窗 口 。“ 收 件 人 ”文本 框 中 就 是 
AD RMS 服务 器 上 设 定 的 接收 申请 的 电子 邮件 地 址 ， 保 持 默认 即 可 。 根 据 自己 的 实际 需要 ， 


说 明 想 要 请 求 的 权限 即 可 。 


文件 中 饥 插 G) 下 看 W， 斤 NO) 窜 式 @) 工具 C) 邮件 即 帮助 o E 
驴 | 关 鸭 自 9 时 vel 
3 | 辐 。 顺 。 出 名 ee teh 

a ee 

EE: 

天 时: [本 

下 lil 吉 BIUA, 丘 二 全 全 二 主要 量 一 章 国 
由 二 天 要 对 《内 多 这 料 > 文档 内 窟 进行 完善， 现 需要 增 1D 本 用 户 的 编 丝 才 坦 存 权 艰 ， 并 和 将 有 效 基 二 

EE 


iiscoclpen net 


图 8.61 申请 附加 权限 


提示 需要 应 用 此 功能 时 , 必须 先 在 网 络 中 配置 Exchange 或 其 他 邮件 服务 器 。 虽然 在 AD 

4 RMS 系统 中 用 到 E-mail 地 址 的 地 方 非常 多 ,但 是 多 数 情况 下 是 作为 一 种 用 户 标识 ， 
并 非 真正 的 用 来 传递 信息 , 所 以 网 络 中 邮件 服务 器 也 就 可 有 可 无 。 如 果 确 实 需 要 传 
递 信息 ， 则 必须 搭建 邮件 服务 器 。 
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小 结 


文件 安全 是 一 个 广义 的 概念 , 包括 文件 存储 安全 和 文件 访问 安全 。 本 章 介绍 了 当前 最 常用 
的 文件 安全 保护 技术 , 任何 用 户 都 可 以 轻松 实现 从 创建 到 访问 , 从 本 机 存储 到 网 络 共享 的 文件 
安全 。 随 着 用 户 文件 安全 要 求 的 不 断 升级 ， 在 Windows Server 2008 系统 中 集成 了 AD RMS 服 
务 器 角色 ， 管 理 员 可 以 随时 根据 需要 安装 。AD RMS 服务 器 可 以 对 需要 保护 的 文档 或 程序 提 
供 全 方位 的 安全 防护 , 例如 ， 禁 止 查看 过 程 中 转发 和 存储 、 设 置 文档 的 有 效 期 限 等 。 如 果 网 络 
中 没有 部 署 AD RMS 服务 器 ,可 以 凭借 有 效 地 .NET Passport 帐户 ， 登 录 到 Microsoft 提供 的 权 
限 管理 服务 器 ， 下 载 相关 证 书 ， 实 现 对 文档 的 保护 。 通 常情 况 下 ,大 多 数 用 户 都 是 通过 共享 权 
限 保 护 共享 资源 的 安全 ,其 实 最 可 取 的 方法 是 将 NTFS 权限 和 共享 权限 配合 使 用 有 效 控制 网 
络 用 户 对 共享 资源 的 访问 。 


习 题 


1. 对 于 文件 安全 ， 最 基本 的 操作 是 哪些 ? 
2. 创建 共享 文件 夹 的 方法 有 几 种 ? 
3. 如 何 对 共享 的 文件 夹 进行 加 密 ? 
4. 如 何 对 共享 的 文件 夹 进行 管理 ? 
5. 文件 备份 在 文件 安全 中 起 着 何 种 作用 ? 


实验 : 配置 共享 资源 安全 


实验 目的 

掌握 通过 各 种 方法 确保 局 域 网 共享 资源 的 安全 。 

实验 内 容 

创建 共享 资源 ， 并 通过 NTFS 权限 、 隐 藏 共享 、 共 享 权限 等 多 种 方式 保护 共享 资源 的 访问 


实验 步骤 


1. 创建 共享 文件 夹 。 

2. 设置 NTFS 访问 权限 。 

3. 设置 共享 访问 权限 。 

4. 将 目标 文件 夹 设置 为 隐藏 共享 。 

5. 在 网 络 中 的 其 他 计算 机 上 访问 共享 资源 。 
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服务 器 信息 备份 与 还 


随 着 计算 机 网 络 应 用 的 不 断 推广 ， 局 域 网 中 的 服务 器 角色 也 越 来 越 丰 富 ， 
当然 网 络 管理 员 的 工作 负担 也 就 相应 增加 中 ,要 时 刻 确保 这 些 服务 器 的 正常 运 
行 。 其 中 非常 重要 的 一 项 工作 就 是 备份 服务 器 信息 ， 以 备 不 时 之 需 。 硬 件 设备 
故障 、 网 络 入 侵 等 都 可 能 造成 数据 丢失 ， 甚 至 导致 服务 器 死机 。 必 要 时 ， 管 理 
员 可 以 使 用 先前 做 好 的 备份 数据 ， 快 速 还 原 业务 应 用 ， 降 低 故障 损失 。 


本 章 导读 


Active Directory 数据 库 的 备份 与 还 原 
DHCP 服务 器 的 备份 与 还 原 

DNS 服务 器 的 备份 与 还 原 

WINS 服务 器 的 备份 与 还 原 

注册 表 的 备份 与 还 原 

网 络 配置 信息 的 备份 与 还 原 

磁盘 配额 的 备份 与 还 原 


Ag 
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9.1 服务 角色 的 备份 与 还 原 


服务 角色 是 服务 器 上 非常 重要 的 信息 之 一 。 通常 情况 下 , 大 部 分 服务 角色 的 状态 信息 都 是 
存储 在 独立 的 数据 库 中 的 ， 管 理 员 只 需 将 其 备份 出 来 ， 当 需要 重读 服务 器 信息 或 遇 到 故障 时 ， 
直接 将 备份 信息 导入 即 可 。 


9.1.1 _ Active Directory 数据 库 


Active Directory 数据 库 备 份 是 管理 员 最 重要 的 任务 ,建议 管理 员 仔细 规划 Active Directory 
数据 库 备 份 策略 。 第 一 次 备份 时 ， 建 议 完整 备份 整个 系统 ,然后 使 用 增 量 备份 模式 备份 ， 安 排 
备份 计划 自动 完成 Active Directory 数据 库 的 备份 。 在 Windows Server 2008 中 备份 Active 
Directory 数据 库 ， 需 要 用 到 Windows Server Backup 工具 ， 安 装 和 相关 应 用 请 参考 本 书 “ 第 7 
章 数据 存储 安全 ”中 的 相关 介绍 。 


1. 完整 备份 Active Directory 数据 库 


备份 Active Directory 数据 库 ， 可 以 使 用 图 形 模式 ， 也 可 以 使 用 命令 行 模式 ， 此 处 以 前 者 
为 例 介绍 。 


和 1 打开 “Windows Server Backup” 窗 口 ， 单 击 “ 一 次 性 备份 ”文字 链接 。 打 开 “ 一 次 性 备份 向 导 ” 对 话 
框 ， 依 次 单 击 “下 一 步 ”按钮 ， 设 置 备份 选项 、 备 份 配置 和 备份 项 目 ， 如 图 9.1 所 示 。 在 “备份 选项 ” 
对 话 框 中 ,选择 “不 同 选项 ” 单 选 按钮 。 在 “选择 备份 配置 ”对 话 框 中 ,选择 “整个 服务 器 ” 单 选 按钮 。 
在 “选择 备份 项 目 ”对 话 框 中 ， 选 择 需要 备份 的 磁盘 。 
OT  ， 寺 
邮 备份 和 项 ae 


ga 运 和 备份 本 四 
[nan : 
MR | De 5 最 让 择 备 从 项 目 
3 FPR Le 本 | 
ih Ei re 
2 和 证 ED 
rye ES] 
nd RR 
请 人 
从 
三 间 价 版 基 总 : 


BE 0 | 


图 9.1 设置 备份 选项 、 备 份 配置 和 备份 项 目 
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2 依次 单 击 “ 下 一 步 ” 按钮， 指定 目标 类 型 、 保 存 路 径 和 其 他 高 级 选项 ， 如 图 9.2 所 示 。 在 “选择 备份 目 
标 ” 对 话 框 中 ， 选 择 用 于 存储 备份 的 磁盘 。 在 “指定 高 级 选项 ”对 话 框 中 ， 选 择 要 创建 的 备份 类 型 。 


本 反刍 C:】 正在 进行 关 份 ，，。 器 捉 几 /5 74 从 
本 二 E:】 着 从 不 开航 。 0 3/0 如 
#0) 人 


可 以 关闭 流向 号 ， 音 份 村 总 综 在 后 对 运行 


Eda hl | ETON 


图 9.2 指定 目标 类 型 、 保 存 路 径 和 其 他 高 级 选项 


03 单 击 “下 一 步 ”按钮 显示“ 确认 ”对 话 框 ， 确 认 设置 无 误 后 单 击 “ 备 份 ”按钮 ， 即 可 开始 备份 ， 直 至 
备份 创建 完成 ， 如 图 9.3 所 示 。 


到 | 


} 站 
DD 指定 目标 类 型 } 
选择 备份 目标 

训 从 汗 从 生存 者 
和 振东 从 人 加 人 本 地 汇 翅 各 0 备份 选 大 造 搓 用 于 存 引 备份; 亿 。 访 计算机 隐 芝 的 外 部 几 名 村 作为 从 列 出 

Mn, 迁 5 从 上 大 小 3 
ED 到 得 # 事 时” 报 定 目标 内 型 站 从 目标 加 ES 0) 了 
eR dd 
页 9 站 村 中 的 3 雄 。 19.53 多 ; 
训 从 可 丽 \ 


ey 指定 高 级 选项 


着 份 送 硕 过 孚 要闻 建 的 彩 硕 制服 务 VS) 着 从 3 交 型。 


过 择 省 份 呈 要 个 Wss 二 信和 份 物 短 )) 
ac an 
园 掺 各 份 标 
‘4 MW 和 
= 二 
音符 要 
¥F se sz fa 
2 ET [5 


图 9.3 完成 备份 向 导 


2. 还 原 Active Directory 数据 库 


Windows Server Backup 功能 可 以 还 原 备 份 中 的 文件 和 文件 夹 ， 提 供 还 原 向 导 ， 管 理 员 根 
据 提 示 还 原 即 可 。 还 原 Active Directory 域 控制 器 中 的 文件 时 ， 使 用 目录 还 原 模式 ， 确 保 域 控 
制 器 中 Active Directory 数据 库 的 安全 。 


人 
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新 启动 计算 机 ， 在 进入 Windows Server 上 02 加 载 操 作 系统 文件 ， 出 现 Windows Server 
2008 的 初始 窗口 前 ， 按 F8 键 进入 “高 级 启动 选项 ” 2008 登录 窗口 ， 在 “用 户 名 ”文本 框 中 ， 输 入 
菜单 界面 。 通 过 键盘 上 的 方向 键 选择 “目录 服务 还 “.\Administrator” 登 录 到 本 机 ， 在 “密码 ”文本 框 


原 模式 ”选项 ， 如 图 9.4 所 示 。 中 ， 输 入 目录 还 原 模式 密码 ， 如 图 9.5 所 示 。 


高 级 启动 选项 


Window 


9.4 高 级 启动 选项 9.5 登录 到 本 地 计算 机 
0 3 启动 完成 ， Windows Server 2008 系统 处 于 安全 模式 ， 显 示 如 图 9.6 所 示 窗口 。 


图 9.6 进入 系统 


04 依次 选择 “开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”一 “存储 ”一 “Windows Server Backup” 选 项 ， 
打开 “Windows Server Backup” 窗 口 。 在 右 侧 “ 操 作 ” 面 板 中 ， 单 击 “ 还 原 ” 链 接 ， 显 示 如 图 9.7 所 
示 “ 人 入 门 ” 对 话 框 。 选 择 需要 还 原 的 目标 服务 器 ， 本 例 选择 “此 服务 器 ”选项 。 


ITE aa 
3 上 PITEERRsss = 习 
4 中 | 站 日 | 


[es ™ 


图 9.7 启动 还 原 向 导 
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05 依次 单 击 “ 下 一 步 ”按钮 ， 选 定 希 望 还 原 备份 的 日 期 和 还 原 类 型 ， 如 图 9.8 所 示 。 在 “选择 备份 日 期 ” 
对 话 框 中 ,选择 备份 内 容 以 及 备份 时 间 。 在 “选择 恢复 类 型 ”对 话 框 中 ,提供 “文件 和 文件 夹 ”" 和 “ 卷 ” 
还 原 选项 ， 选 择 “ 文 件 和 文件 夹 ” 单 选 按钮 即 可 。 


< 地 交行 轩 友 雪 行 入 拓 机 六 厂 


图 9.8 选择 还 原 备份 日 期 和 恢复 类 型 


06 单 击 “ 下 一 步 ” 按钮， 显示 如 图 9.9 所 示 “ 选 择 要 恢复 的 项 目 ”对 话 框 。 在 “可 用 项 目 ” 列 表 中 ， 选 择 
需要 还 原 的 目标 文件 夹 ， 在 右 侧 的 列表 中 显示 选择 的 文件 夹 中 包含 的 文件 ,管理 员 可 以 选择 一 个 文件 或 
者 多 个 文件 ， 选 择 的 文件 以 高 亮 显示 。 

(07 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 9.10 所 示 “ 指 定 恢复 选项 ”对 话 框 。 将 选择 的 文件 还 原 的 目标 文件 来 ， 
可 以 还 原 到 原始 位 置 或 者 重 定向 到 新 的 位 置 。 如 果 在 目标 文件 夹 中 , 已 经 存在 同名 文件 时 ， 管 理 员 可 以 
根据 需要 选择 创建 文件 副本 还 是 覆盖 文件 或 者 不 恢复 文件 和 文件 夹 。 


由 尖 反 要 和 的 项 目 中 指定 忆 复 法 项 
AD AD ER 
ET ] 和 Fe 
En RR 6 -1 
计生 和 人 豆 的 自 
man 
boa 光村 丰硕 瑟 六 中 芋 视 太 件 和 文件 天时 
二 有 六 副 本 ， 碎 候 夫 月 有 隙 个 妖 本 的 文件 或 文件 到 下 ) 
厂 他 二 已 其 hr 祥 件 苹 关 现 有 文件 加 ) 
厂 不 骆 吾 这 些 立 仁和 立 闪 二 加 ) 
E37 
了 y 这 要 安全 设备 多) | 
< 上 - 步 | FS > HE 肌 洁 《上 - 步 的 | $m 》 4 取消 
99 “ 渤 择 要 全 复 的 项 目 ”对 话 杠 9.10 “指定 恢复 选项 ” 对 话 杠 


08 单 击 “下 一 步 ” 按钮 ， 显 示 “ 确 认 ” 对 话 框 ， 显 示 恢复 文件 的 恢复 目标 、 恢 复 选项 、 安 全 设置 等 选项 。 
单 击 “ 还 原 ” 按钮 ， 执 行文 件 还原 ， 还 原 完成 后 显示 如 图 9.11 所 示 “ 恢 复 进度 ”对 话 框 。 完 成 后 ， 单 
击 “ 关 闭 ” 按 钮 ， 退 出 向 导 即 可 。 
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9.1.2 ”DHCP 服务 器 


在 规模 较 大 的 局 域 网 中 ， 通常 采用 DHCP 服务 器 为 客户 机 统一 分 配 TCP/IP 配置 信息 。 一 
旦 出 现 人 为 的 误 操作 或 其 他 因素 ， 将 会 导致 DHCP 服务 器 的 配置 信息 出 错 或 丢失 ， 导 致 企业 
的 员工 不 能 正常 工作 。 手 工 进行 还 原 非常 麻烦 ， 而 且 工作 量 较 大 ， 同 时 DHCP 服务 器 中 可 能 
包含 多 个 作用 域 , 并 且 每 个 作用 域 中 又 包含 不 同 的 他 地址 段 、 网 关 地 址 、DNS 服务 器 等 参数 。 
此 ， 备 份 这 些 配置 信息 ， 就 成 为 网 络 管理 员 的 必要 工作 。 


1. 备份 DHCP 数据 库 
在 DHCP 服务 器 中 ， 已 经 内 置 了 备份 和 还 原 功能 ， 而 且 操作 也 非常 简单 。 


01 在 DHCP 控制 台 窗口 中 ， 右 击 “DHCP 服务 器 名 ”选项 ， 从 快捷 菜单 中 选择 “备份 ”选项 ， 显 示 如 
9.12 所 示 “ 浏 览 文件 夹 ”对 话 框 ， 指 定 备份 文件 的 存放 路 径 即 可 。 


巴 3 


并 各 0 下 看 的。 更 动 00 | 
En 
2 一 全 过 择 IWCP 服务 器 要 站 哇 份 文件 的 广 件 天。 


图 9.12 存放 DHCP 备份 文件 的 位 置 
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和 如果 DHCP 配置 信息 损坏 ， 需 要 进行 还 原 时 ， 可 以 右 击 “DHCP 服务 器 名 ”选项 ， 从 快捷 菜单 中 选择 
“还 原 ” 选项， 显示 如 图 9.13 所 示 “ 浏 览 文件 来” 对 话 框 ， 用 户 根据 备份 文件 的 路 径 来 指定 备份 文件 
所 在 的 路 径 。 
[0 2 单 击 “确定 ”按钮 后 ， 显 示 “DHCP” 信 息 提示 对 话 框 ， 如 图 9.14 所 示 。 为 了 使 改动 生效 ， 必 须 停止 
DHCP 服务 并 重新 启动 该 服务 。 


文件 中 可 作 加 查看 帮助 om 
和 中 | 方 四 | 其 日 上 | 目 疝 | 吕 旦 
[| 


Ea 
E 目 


I Ee -= 遍 、 为人 :he 外， 名 损人 Eo。 本 樟 ? 


Co aw | 


9.1.3 DNS 服务 器 


DNS 服务 器 担负 着 域名 解析 的 工作 ， 其 重要 性 不 言 而 喻 。 如 果 网 络 中 的 DNS 服务 器 出 现 
问题 或 者 信息 数据 丢失 的 话 ， 则 服务 器 就 将 无 法 完成 域名 的 解析 工作 。 因 此 ， 平 时 要 经 常 对 
DNS 服务 器 的 数据 信息 进行 备份 。 当 发 现 DNS 服务 器 出 现 问题 时 ,可 以 方便 的 使 用 备份 文件 
快速 还 原 DNS 服务 器 的 工作 。DNS 服务 器 数据 的 备份 ， 分 两 步 进行 : 首先 ， 要 备份 注册 表 中 
的 DNS 服务 器 的 相关 信息 ; 其 次 ， 要 备份 域名 解析 时 所 使 用 的 DNS 数据 信息 。 


1. DNS 注册 表 信 息 备份 
(1) 备份 DNS 服务 信息 


01 打开 注册 表 编辑 器 ， 在 左 侧 的 层次 列表 中 依次 展开 “HKEY_LOCAL_MACHINE\System\CurrentControlSet\ 
Services\DNS” 项 目 ， 只 要 将 此 键 值 下 的 所 有 数据 备份 出 来 即 可 。 

02 选中 “DNS” 项 目 ， 单 击 “ 文 件 ”菜单 中 的 “导出 ”选项 ， 显 示 “ 叶 出 注册 表 文 件 ”对 话 框 ， 指 定 备 份 
文件 的 存放 路 径 和 文件 名 即 可 ， 如 图 9.15 所 示 。 
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图 9.15 备份 注册 表 的 DNS 服务 信息 
”注意 在 备份 服务 状态 的 时 候 ， 其 实 就 已 经 备份 了 DNS 信息 ， 但 是 为 了 备份 和 还 原 DNS 


注意 


得 数据 的 简易 性 和 方便 性 ， 建 议 对 DNS 数据 进行 单独 备份 。 


(2) 备份 DNS Server 服务 信息 


0 1 打开 注册 表 编辑 器 ， 在 左 侧 的 层次 列表 中 依次 展开 
“HKEY_LOCAL_MACHINE\Software\Microsoft\ 
Windows NT\CurrentVersion\DNS Server” 项 
目 ， 将 此 键 值 下 的 所 有 数据 备份 出 来 即 可 。 

2 选中 “DNS Server” 项 目 ， 单 击 “ 文 件 ”菜单 中 
的 “导出 ”选项 ， 显 示 “ 导 出 注册 表 文件 ”对 话 
框 ， 指 定 备份 文件 的 存放 路 径 和 文件 名 称 即 可 完 
成 数据 的 保存 ， 如 图 9.16 所 示 。 


2. DNS 数据 文件 备份 


“DNS 注册 表 信息 备份 部 分 备份 的 是 注册 
表 中 的 信息 ， 但 其 中 并 不 包含 域名 解析 时 所 使 
用 的 域名 数据 信息 一 一 这 部 分 内 容 需 要 单独 进 
行 备份 。 

打开 DNS 服务 器 的 资源 管理 器 ， 进 入 到 
“c:\windows\system32\dns” 目 录 ， 将 后 绥 为 
“.dns” 的 所 有 文件 备份 出 来 ， 这 些 文件 中 存 
储 的 就 是 域名 解析 时 所 使 用 的 域名 数据 信息 ， 
这 样 就 完成 了 域名 数据 的 备份 操作 , 如 图 9.17 
所 示 。 
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主 册 志 编辑 器 Dlx 
文件 中 _ 坊 痢 ) 查看 VW 收 天天 W 帮助 00 


昌 邓 Acemibilit a 全 WE6.52 二 什 未 设 是 ) 


went Viever 
Font Irivers 


4 1 村 
MEY LDCAL NACHTNENSOP TARE\Wi cros oft Vindons WT\CarrentVersion\IS Server 更 


图 9.16 备份 注册 表 的 DNS Server 服务 信息 


2009/2/26 .. 文件 实 
用 文 冰 2008/12/5 
[省 2 Ca 
内 二 乐 FD me 3 档 om 
国 各 的 次 大 小 .516 字 节 
田 4 和 ak 贿 : 2008/12/s 8 .51 
是 
文件 ^ 司 加 


图 9.17 备份 DNS 数据 文件 
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3. DNS 数据 还 原 
当 DNS 服务 器 出 现 问题 ， 可 以 使 用 备份 的 两 部 分 数据 进行 还 原 。 


十 运行 备份 的 两 个 注册 表 文件 ， 将 其 导入 到 注册 表 中 。 
2 将 后 绥 为 “.dns” 的 所 有 文件 覆盖 “c:\windows\system32\dns” 目录 下 所 有 的 同名 文件 ， 即 可 完成 DNS 
服务 器 的 数据 还 原 。 


注意 


入 在 完成 还 原 DNS 服务 器 的 工作 后 ， 建 议 重新 启动 DNS 服务 器 。 


9.1.4 WINS 服务 器 


Windows Server 2008 添加 WINS 服务 器 功能 之 前 ， 需 要 设置 一 个 静态 IP。 如 果 WINS 服 
务 器 使 用 动态 全 ， 地 址 会 发 生 改 变 ，WINS 客户 端 就 需要 不 断 地 重新 配置 。 因 为 用 户 是 根据 
WINS 服务 器 的 他 来 配置 客户 端的 。 


1. 备份 WINS 数据 库 


1 选择 “开始 ”一 “管理 工具 ”一 “WINS” 命令 , 打开 “WINS” 窗 口 。 在 左 侧 窗 格 中 选择 并 右 击 “WINS 
服务 器 ”选项 ， 在 弹出 的 快捷 菜单 中 选择 “备份 数据 库 ” 命 令 ， 打 开 如 图 9.18 所 示 “ 浏 览 文件 夹 ” 对 
话 框 ， 选 择 WINS 数据 备份 的 位 置 。 


到 
ERT = 
轴 趾 放 [m| 尖 人 44| 卓 全 lL 
EE - 
. Rr 区 作 肢 务 器 放置 备份 数据 诛 文件 的 文件 
二 二 。。。 时 天 信息 0 . bt 
时而 估 作 多 


本 地 全 9) 


ge 
田 贺 mm 驱动 器 6:) Wwwe Tools 


图 9.18 备份 WINS 服务 数据 库 
0 2 单 击 “确定 ” 按钮。 备份 过 程 完成 之 后 ， 单 击 “ 确 定 ”按钮 即 可 完成 WINS 数据 库 的 备份。 


上 1 选择 并 右 击 左 侧 窗 格 中 使 用 的 WINS 服务 器 。 在 弹出 的 快捷 菜单 中 选择 “还 原 数据 库 ” 命 令 。 系 统 显示 
“浏览 文件 夹 ”对 话 框 。 
2 选择 WINS 数据 库 还 原 的 位 置 。 单 击 “ 确 定 ”按钮 。 还 原 过 程 完成 之 后 ， 重 新 启动 WINS 服务 即 可 完成 
WINS 的 还 原 。 
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9.2 注册 表 的 备份 与 还 原 


注册 表 是 系统 的 重要 数据 库 ， 如 果 出 现 错误 ， 轻 者 造成 系统 启动 错误 或 软件 不 能 使 用 , 重 
者 造成 系统 整个 瘫痪 。 由 于 应 用 程序 和 硬件 配置 经 常 修改 注册 表 并 增加 内 容 , 因此 注册 表 比 计 
算 机 中 的 其 他 静态 的 文件 更 容易 出 错 或 受到 损坏 。 因 此 ,定期 维护 、 备 份 注册 表 是 每 位 用 户 需 
要 养 成 好 习惯 。 
里 定期 备份 。 根 据 用 户 使 用 电脑 的 情况 ， 通 常 选 择 每 周 或 每 月 进行 一 次 ， 确 保 系统 出 错时 
能 还 原 到 最 新 的 注册 表 状 态 。 

增加 硬件 。 当 安装 新 硬件 时 ， 可 能 其 驱动 程序 会 与 系统 不 兼容 ,造成 系统 瘫痪 ,为 预防 
此 故障 ， 应 事先 备份 注册 表 。 

里 安装 软件 。 当 需要 安装 未 使 用 过 的 软件 时 ， 防 止 其 与 系统 中 的 其 他 软件 相 冲 突 ， 造 成 系 
统 瘫 疾 ， 需 要 事先 备份 好 注册 表 。 


Wm [ns Mo 
9.2.1 备份 注册 表 9 ET 


以 管理 员 身份 登录 系统 ， 依 次 选择 “ 开 
始 ” 一 “运行 ”命令 ， 在 “运行 ”对 话 框 中 
输入 “regedit” 命 令 ， 单 击 “ 确 定 ”按钮 ， 
打开 “注册 表 编辑 器 ”窗口 。 依 次 选择 “ 文 
件 ” 一 “导出 ”命令 ， 显 示 “ 导 出 注册 表 文 
件 ” 对 话 框 。 选 择 注册 表 备份 文件 的 保存 路 
径 、 名称 以 及 保存 全 部 还 是 只 保存 注册 表 的 二 
某 个 分 支 。 单 击 “ 保 存 ” 按 钮 即 可 完成 注册 PP 一 
表 的 备份 ， 如 图 9.19 所 示 。 0 


文件 各; 注册 表 备份 了 
从 寿 类 型 [ 广 册 文件 ( ree) "| 取消 


图 9.19 “导出 注册 表 文件 ”对 话 框 


9.2.2 还 原 注册 表 


在 “注册 表 编 辑 器 ”窗口 中 ， 依 次 选择 “文件 ” 一“ 导入” 命令， 显示“ 导入 注册 表 文 件 ” 
对 话 框 ， 浏 览 曾经 导出 的 注册 表 备份 文件 ， 单 击 “ 打 开 ” 按 钮 即 完成 注册 表 的 还 原 ， 如 图 9.20 
所 示 。 还 原 完成 后 需要 重新 启动 计算 机 ， 按 照 提 示 操 作 即 可 。 
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il 
全 zk 入] 
mm BTA. | 加 
组 织 ” 目下 a 
图 点 十 
| 需 i 计 JW 机 
|_ mm ca 十 
退出 9) [了 
万 和 的 二 让 
上 
县 如 
文件 导入 到 主 肌 表 中 5 ps 
文件 名 0 ; 请 未 竺 从 司 Em ree) 习 
| 


图 9.20 打开 “导入 注册 表 文件 ”对 话 框 


9.3 ”网络 配置 的 备份 与 还 原 


作为 一 名 网 络 管理 员 , 首先 要 能 够 维护 网 络 安全 正常 的 运行 , 在 网 络 发 生 故 障 时 能 迅速 进 
行 还 原 。 在 网 络 故 障 还 原 过 程 中 ， 尤 为 重要 的 是 服务 器 网 络 设置 的 还 原 。Netsh 是 Windows 
2000/XP/2003/Vista/2008 操作 系统 自身 提供 的 命令 行 脚本 实用 工具 ， 人 允许 用 户 在 本 地 或 远程 ， 
显示 和 修改 当前 正在 运行 的 计算 机 的 网 络 配置 ， 另 外 也 可 以 将 配置 脚本 保存 在 文本 文件 中 。 


9.3.1 备份 服务 器 的 网 络 设置 


常规 服务 器 的 网 络 设置 包括 芋 地 址 设置 、 aa 
接口 、 端 口 代理 、 远 程 访问 、 路 由 、DNS 代 机 
理 、NAT、DHCP 中 继 代 理 配置 等 。 这 些 网 络 
参数 的 设置 , 根据 服务 器 在 网 络 中 所 起 的 特殊 
作用 而 有 所 不 同 。 只 有 对 网 络 服务 器 的 设置 进 
行 了 相应 的 备份 , 才能 在 网 络 设置 遇 到 毁灭 性 
破坏 时 ， 迅 速 并 且 及 时 地 还 原 网 络 。 


在 命令 行 模式 下 输入 如 下 命令 : 

netsh dump >d:\NFC-lxh-2008.txt 

器 车 确认 ， 命令 行 成 功 执行 ,将 网 络 设置 
备份 到 “ce:\bak ltxt” 文件 中 ， 该 文件 为 一 个 文 图 9.21 备份 服务 器 的 网 络 设置 
本 文件 ， 如 图 9.21 所 示 。 


obal i pe sense= 
ed i preth ed .050.070 rt 地 连接 ” i op sol. B 
ladd address nam= ”本寺 得 捞 ” eel1. 92. 78. 049 


popd 
由 IPv4 配置 结束 


或 
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9.3.2 ”还原 服务 器 的 网 络 设置 


在 进行 网 络 设置 调整 时 ,如 果 发 生 了 操作 失误 , 或 者 服务 器 的 网 络 发 生 故 障 , 可 以 利用 备 
份 快速 还 原 网 络 设置 。 
在 命令 行 模式 下 输入 如 下 命令 : 


Netsh exec d:\NFC-lxh-2008.txt 


回 车 确认 , 命令 成 功 执行 即 可 将 已 经 备份 好 的 网 络 设置 还 原 到 系统 中 。 该 命令 非常 适合 
网 络 管理 人 员 用 来 对 服务 器 网 络 设置 进行 备份 和 还 原 管理 。 


9.4 ”磁盘 配额 的 备份 与 还 原 


使 用 Windows 系统 提供 的 磁盘 配额 功能 ， 对 每 个 用 户 所 使 用 的 磁盘 容量 进行 限制 。 但 是 
如 果 服务 器 由 于 某 些 原因 ， 或 者 因为 重新 安装 服务 器 操作 系统 和 其 他 原因 造成 配置 信息 丢失 ， 
那么 手工 还 原 起 来 就 需要 大 量 时 间 。 因 此 网 络 管理 员 在 备份 系统 服务 的 同时 , 还 应 备份 好 磁盘 
配额 项 目的 信息 。 


9.4.1 备份 磁盘 配额 0:) 的 机 ol 


本 里 Q) 编辑 G) 查看 VW) 帮助 00 

DXoQ 

0 1 右 击 启用 磁盘 配额 的 分 区 (以 D 盘 为 例 ) ， 选 择 快捷 菜 | 呈 宝生 
单 中 的 “属性 ” 选项， 切换 到 “配额 ”选项 卡 ， 单 击 “ 配 
额 项 ”按钮 ， 显 示 如 图 9.22 所 示 “(D:) 的 配额 项 ”对 
话 框 。 

有 02 右 击 希望 备份 的 配额 项 目 ， 并 选择 “导出 ”选项 ， 显 示 
“导出 配额 设置 ”对 话 框 。 指 定 保存 备份 文件 的 目录 后 
单 击 “ 确 定 ”按钮 ， 即 可 开始 备份 。 也 可 以 同时 导出 多 


个 配额 项 目 。 有 二 图 9.22 “(D:) 的 配额 项 ”对 话 框 
9 4 消 2 还 原 磁 盘 配额 i 
取 条 
在 配额 项 目 管理 对 话 框 中 , 单 击 “ 配 额 ” 一“ 导入” @ We tareieniat 
选项 , 即 可 选择 已 保存 的 备份 文件 。 还 原 磁盘 配额 设置 ee 
时 ， 系 统 会 显示 如 图 9.23 所 示 “ 磁 盘 配 额 ”对 话 框 。 Em | 


单 击 “ 是 ”按钮 ， 即 可 完成 磁盘 配额 项 目的 还 原 。 ee 
图 9.23 “磁盘 配额 ”对 话 杠 
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小 结 


ee] 


文件 安全 是 系统 安全 中 最 重要 的 课题 之 一 , 为 了 防止 系统 问题 而 导致 数据 丢失 , 可 以 对 重 
要 数据 进行 安全 备份 与 还 原 。 系统 数 据 备 份 的 内 容 非常 广泛 , 管理 员 可 以 对 系统 账号 ,注册 表 、 
WINS 服务 器 信息 进行 备份 ， 甚 至 还 可 以 备份 收藏 夹 、 输 入 法 和 系统 字体 ,备份 和 还 原 操作 简 


适合 管理 员 统 一 备份 和 用 户 自 主 备份 。 


1. 系统 备份 有 哪些 类 型 ? 

2. 如 何 对 系统 账号 进行 备份 和 还 原 ? 

3. 如 何 使 用 Windows Server Backup 备份 Active Directory 数据 库 ? 
4. 如 何 对 注册 表 进 行 备 份 和 还 原 ? 


实验 : 备份 和 还 原 服务 器 网 络 配置 信息 


实验 目的 

掌握 运用 netsh 命令 快速 备份 和 恢复 服务 器 的 网 络 配置 信息 。 

实验 内 容 

备份 网 络 配置 信息 后 ， 更 改 其 他 地 址 和 子 网 掩 码 ， 然 后 使 用 备份 文件 恢复 配置 信息 。 


1. 查看 服务 器 当前 网 络 配置 信息 。 

2. 使 用 netsh dump 命令 导出 网 络 配置 。 

3. 更 改 服务 器 卫 地 址 和 子 网 扒 码 。 

4. 使 用 netsh exec 命令 恢复 网 络 配置 。 

5. 验证 服务 器 网 络 配置 信息 ， 是 否 成 功 恢复 。 
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随 着 网 络 应 


授权 用 户 访问 的 网 


技术 的 发 展 , 安全 隐患 也 越 来 越 多 , 尤其 是 在 一 些 未 经 允许 
络 , 一 旦 数据 被 人 截获 、 算 改 或 假冒 等 ,对 企业 和 用 户 都 带 


来 难以 想象 的 恶劣 后 果 。 因 此 ,安全 问题 也 越 来 越 被 人 们 所 重视 ,特别 是 电子 
交易 网 站 。 而 电子 证 书 是 一 种 应 用 非常 广泛 的 提高 通信 安全 性 的 方式 , 可 以 实 


现 用 户 身份 认证 、 数 据 加 密 等 功能 ， 从 而 保护 用 户 的 网 络 及 传输 信息 的 安全 。 
本 章 导读 

国安 装 证 书 服务 

量 ”企业 证 书 服务 器 的 应 用 

轩 ”独立 证 书 服务 器 的 应 用 

量 ”证 书 服务 器 的 备份 、 还 原 与 管理 
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10.1 电子 证 书 和 认证 服务 概述 


要 利用 电子 证 书 实现 网 络 安全 通信 ， 必 须要 搭建 认证 服务 器 。 安 全 Web 连接 的 站 点 (使 
用 HTTPS)、 邮件 的 签名 和 加 密 、 网 上 银行 在 线 交 易 等 都 需要 证 书 来 保护 用 户 或 计算 机 的 安全 。 
Windows Server 2008 自 带 了 证 书 服务 功能 ， 可 以 实现 不 同类 型 数字 证 书 的 颁发 ， 用 户 使 用 所 
颁发 的 证 书 即 可 实现 安全 连接 、 数 据 加 密 等 功能 。 


10.1.1 数字 证 书简 介 


电子 证 书 类 似 于 生活 中 的 “证 书 ” 都 是 由 信任 的 证 书 颁 发 机 构 或 第 三 方 机 构 颁 发 的 ， 并 
且 不 同 的 证 书 只 能 应 用 于 其 特定 的 领域 。 不 过 ， 电 子 证 书 则 是 一 段 由 证 书 颁发 机 构 
(Certification Authority， 简 称 CA) 数字 签名 的 、 包 含 用 户 身份 信息 和 用 户 公 钥 信息 以 及 身份 
验证 机 构 数字 签名 的 数据 ， 用 来 代表 用 户 的 身份 。 其 中 , 身份 验证 机 构 的 数字 签名 可 以 确保 证 
书信 息 的 真实 性 , 而 用 户 公 钥 信息 可 以 保证 数字 信息 传输 的 完整 性 , 用 户 的 数字 签名 可 以 保证 
数字 信息 的 不 可 否认 性 。 

证 书 的 主要 功能 是 向 网 络 上 的 其 他 用 户 证 明 个 人 身份 .用 于 网 络 上 身份 验证 及 保证 公开 网 
络 上 信息 安全 。 每 个 证 书 都 拥有 可 以 公开 的 “ 公 钥 ”及 与 之 相关 联 的 私 钥 , 同时 只 有 证 书 持 有 
人 才 拥 有 “ 私 钥 ”。 证 书 将 公 钥 安全 地 绑 定 到 持 有 相应 私 钥 的 实体 中 ， 并 通过 网 络 进行 传输 。 
证 书 由 证 书 颁 发 机 构 进行 管理 ， 此 过 程 称 为 “签名 ”。 而 且 ， 证 书 可 以 颁发 给 用 户 、 计 算 机 或 
某 一 应 用 程序 。 

Windows Server 2008 使 用 公共 密 钥 基础 结构 (PKI，Public Key Infrastructure) 来 处 理 企业 
内 部 或 外 部 网 络 中 用 户 的 身份 验证 、 数 据 加 密 、 数 字 签名 等 。 公 共 密 钥 属 于 “ 非 对 称 加 密 ” 技 
术 ， 使 用 “ 公 钥 ”和 “ 私 钥 ” 两 个 密 钥 。 其 中 ,“ 公 钥 ” 可 以 对 所 有 用 户 公 开 ; 而 “ 私 钥 ” 则 
必须 由 使 用 者 自己 秘密 保存 , 不 能 泄漏 。 这 两 个 密 钥 彼此 相关 联 , 通常 都 是 通过 证 书 来 发 布 的 。 

用 户 在 发 送信 息 时 ， 可 以 使 用 自己 的 “ 私 钥 ” 对 发 送 的 电子 邮件 、 文 档 等 进行 “签名 ”， 
如 果 数 据 在 传送 的 过 程 中 被 更 改 ， 则 收 到 的 电子 邮件 、 文 档 中 的 “签名 ”信息 将 不 复 存在 ,而 
接收 者 也 将 看 不 到 发 送 者 的 “签名 ”信息 ， 这 样 接收 者 就 可 以 判断 所 接收 到 的 信息 是 否 被 “ 算 
改 ”。 当然 ， 发 送 者 也 可 以 使 用 接收 者 的 “ 公 钥 ”对 发 送 的 数据 进行 “加 密 ” 只 有 接收 者 使 月 
自己 的 “ 私 钥 才能 解密 ， 即 使 其 他 人 通过 各 种 途径 收 到 该 数据 ,由 于 没有 对 应 的 私 钥 所 以 不 
能 查看 数据 内 容 ， 从 而 保证 了 数据 的 安全 。 


10.1.2 认证 服务 简介 


Windows Server 2008 支持 两 种 证 书 服务 器 ， 分 别 是 应 用 于 企业 内 部 的 企业 证 书 服务 器 和 
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企业 或 ntemet 的 独立 证 书 服务 器 。 其中, 企业 证 书 服务 器 应 用 于 域 环境 , 需要 Windows Server 
2008 活动 目录 (Active Directory) 的 支持 ,用 户 可 以 直接 向 证 书 服务 器 申请 并 安装 证 书 。 独 立 
根 证 书 服务 器 应 用 于 非 域 环境 , 可 以 安装 在 任何 一 台独 立 服 务 器 上 , 但 用 户 向 证 书 服务 器 申请 
证 书 时 ， 必 须 由 管理 员 检查 后 颁发 才能 使 用 。 

需要 注意 的 是 , 在 部 署 了 证 书 服务 以 后 ,服务 器 的 计算 机 名 和 域名 都 不 能 更 改 , 但 可 以 更 
改 全 地 址 。 


10.2 证书 服务 的 安装 


Windows Server 2008 支持 两 种 证 书 服务 , 分 别 用 于 企业 内 部 的 企业 证 书 服务 器 (企业 CA) 
和 企业 或 ntemet 网 络 中 的 独立 的 证 书 服务 器 (独立 CA)。 企业 CA 需要 Windows Server 2008 
活动 目录 的 支持 ， 而 独立 CA 则 可 以 安装 在 任何 独立 的 Windows Server 2008 计算 机 中 。 


10.2.1 企业 CA 的 安装 


证 书 服务 作为 Windows Server 2008 内 置 组 件 ， 默 认 情况 下 并 没有 安装 。 由 于 企业 证 书 服 
务 器 需要 活动 目录 的 支持 ， 因 此 ， 在 安装 企业 证 书 服务 器 时 必须 先 安装 域 服务 。 


0 十 运行 “添加 角色 向 导 ” 当 显示 “选择 服务 器 角色 ”对 话 框 时 ， 在 “角色 ”列表 框 中 选中 “Active Directory 
证 书 服 务 ” 复 选 框 ， 依 次 单 击 “下 一 步 ” 按 钮 ， 查 看 Active Directory 证 书简 介 并 选择 希望 安装 的 角色 
服务 ， 如 图 10.1 所 示 。 在 “选择 角色 服务 ”对 话 框 中 ， 可 以 选择 为 Active Directory 证 书 服务 安装 的 角 
色 服务 ， 默 认 选 中 “证 书 颁 发 机 构 ” 复 选 框 。 如 果 要 启用 证 书 Web 注册 功能 ， 可 同时 选中 “证 书 颁发 
机 构 Web 注册 ” 复 选 框 , 由 于 证 书 Web 注册 需要 启用 Web 功能 , 因此 需要 同时 添加 Web 服务 器 功能 。 


全、 时 本 加 证 有 和 发 机 构 Teh 注 尖 所 轩 的 风色 服务 和 功 和 7 
5) Ee as Net 
8 
= 和 


po A 
I iy 


DA a 


图 10.1 选择 需要 安装 的 角色 服务 
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注意 ”只 有 Windows Server 2008 企业 版 和 数据 中 心 版 支持 Web 注册 功能 , 标准 版 和 Web 


C9 版 则 不 支持 。 


四 2 依次 单 击 “ 下 一 步 ” 按钮， 设置 安装 类 型 、CA 类 型 和 私 钥 ， 如 图 10.2 所 示 。 在 “指定 安装 类 型 ”对 话 
框 中 ， 选 择 “ 企 业 ” 单 选 按钮 ， 用 来 安装 企业 证 书 。 在 “指定 CA 类 型 ”对 话 框 中 ， 选择“ 根 CA” 单 
选 按钮 。 在 “设置 私 钥 ” 对 话 框 中 ， 选 择 “新 建 私 钥 ” 单 选 按钮 。 


co | 


图 10.2 设置 安装 类 型 、CA 类 型 和 私 钥 


03 依次 单 击 “ 下 一 步 ” 按 钮 ， 设 置 CA 加 密 、CA 名 称 和 有 效 期 ， 如 图 10.3 所 示 。 在 “为 CA 配置 加 密 ” 
对 话 框 的 “选择 加 密 服务 提供 程序 ”下 拉 列 表 中 ， 选 择 加 密 程序 ， 在 “ 密 钥 字符 长 度 ” 下 拉 列 表 中 可 选 
择 密 钥 长 度 ， 在 “选择 此 CA 颁发 的 签名 证 书 的 哈 希 算法 ”列表 框 中 ， 选 择 要 使 用 的 哈 希 算法 。 在 “ 配 
置 CA 名 称 ”对 话 框 中 ， 设 置 此 证 书 的 公用 名 称 。 在 “设置 有 效 期 ”对 话 框 中 ， 设 置 该 证 书 的 有 效 期 
默认 为 5 年 。 


zo] | ww | 


10.3 设置 CA 加 密 、CA 名 称 和 有 效 期 
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04 依次 单 击 “ 下 一 步 ” 按钮， 配置 证 书 数据 库 、 安 装 Web 服务 器 直至 安装 完成 ， 如 图 10.4 所 示 。 在 “ 配 
置 证 书 数据 库 ” 对 话 框 ， 设 置 证 书 数据 库 和 数据 库 日 志 的 位 置 。 在 “Web 服务 器 (IIS) ”对话 框 中 ， 查 
看 IS 的 简介 信息 。 在 “选择 角色 服务 ”对 话 框 中 ， 用 来 选择 欲 安装 的 1IS 组 件 。 保 持 默认 设置 即 可 。 


图 10.4 配置 证 书 数据 库 、 安 装 Web 和 CA 


05 单 击 “ 关 闭 "按钮 , 证 书 服务 安装 完成 。 打开 “服务 器 管理 器 ”窗口 , 依次 展开 “角色 ”一 “Active Directory 
证 书 服务 ” 即 可 查看 所 安装 的 证 书 服务 ， 如 图 10.5 所 示 。 


10.2.2 独立 根 CA 的 安装 


如 果 网 络 内 尚未 安装 域 服务 , 也 可 以 将 证 书 服务 安装 在 独立 服务 器 上 ,从 而 实现 证 书 的 颁 
发 与 管理 。 不 过 ， 由 于 独立 根 CA 不 需要 Active Directory， 因 此 ， 只 能 使 用 Web 方式 注册 证 
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1 以 管理 员 用 户 身份 登录 到 服务 器 ， 运 行 “ 添 加 角色 向 导 ” 在 “选择 服务 器 角色 ”对 话 框 中 选中 “Active 

Directory 证 书 服务 ” 复 选 框 。 
四 2 在 “选择 角色 服务 ”对 话 框 中 ,同时 选中 “证 书 颁 ”3 在 “指定 安装 类 型 ”对 话 框 中 ， 选择“ 独立 ” 
发 机 构 ” 和 “证 书 颁发 机 构 Web 注册 ” 复 选 框 ， 以 启 ” 单 选 按钮 ， 如 图 10.7 所 示 。 由 于 此 服务 器 不 是 域 控 


用 Web 注册 功能 ， 如 图 10.6 所 示 。 制 器 ， 且 未 加 入 域 ， 因 此 ,“ 企 业 ” 单 选 按钮 为 灰色 
不 可 选 状态 。 
[3 蕴 定 窑 半 夫 型 
eal mw hr 中 岂 认 近 生 由 人 下 有 大 管理， 撕 二 人 得 家 识 于 上 二 
于 二 计 。Taaaesaggeagger BRbagvsi uapatta， 
9 
人 
ERE 
ma 
= 
LSI CS 
10.6 “选择 角色 服务 ”对 话 杠 图 10.7 “指定 安装 类 型 ”对 话 框 


_04 其 他 操作 ， 与 安装 企业 CA 时 完全 相同 ， 这 里 不 再 费 述 。 


10.3 ”企业 证 书 服务 器 的 应 用 


企业 证 书 服务 器 安装 完成 以 后 , 无 论 是 域 成 员 用 户 , 还 是 非 域 成 员 , 都 可 以 向 证 书 服务 器 
申请 证 书 。 申 请 证 书 可 以 使 用 Web 方式 或 “证 书 申请 向 导 ” 两 种 方式 ， 前 者 无 论 是 域 成 员 还 
是 非 域 成 员 都 可 使 用 ， 而 后 者 只 有 加 入 域 以 后 才能 使 用 。 


10.3.1 使 用 Web 方式 申请 与 安装 证 书 


如 果 在 安装 证 书 服务 器 的 同时 ， 也 安装 了 “证 书 颁发 机 构 Web 注册 ”， 那么， 就 可 以 通过 
Web 方式 来 申请 证 书 ， 而 且 不 需要 加 入 域 ， 但 需要 配置 信任 证 书 服务 器 才能 安装 证 书 。 而 对 
于 域 用 户 ， 则 无 需 配 置 证 书 服务 信任 即 可 安装 证 书 。 申 请 证 书 的 客户 端 可 以 使 用 Windows 
2000/XP/Vista 操作 系统 ， 这 里 以 Windows Vista 系统 为 例 。 
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1. 配置 IE 浏览 器 


01 使 用 管理 员 用 户 登录 Windows Vista， 首 先 需要 ”2 单 击 “ 自 定义 级 别 ”按钮 ， 显 示 “ 安 全 设置 - 
使 IE 浏览 器 能 够 运行 ActiveX 控件 。 打 开 IE 浏览 器 ， Internet 区 域 ”对 话 框 ， 将 “对 未 标记 为 可 安全 执行 
单 击 “ 工 具 ” 菜 单 中 的 “Internet 选项 ” 选择 “安全 ” 脚本 的 ActiveX 控件 初始 化 并 执行 脚本 (不 安全 )” 


选项 卡 ， 显 示 如 图 10.8 所 示 。 和 “人 允许 运行 以 前 未 使 用 的 ActiveX 控件 而 不 提示 ” 
均 选 择 为 “启用 (不 安全 ) ” 单 选 按钮 ， 如 图 10.9 
所 示 。 
| a 一 一 一 
和 提要 查看 的 区 域 或 更 效 安 全 设置。 办 ya 


屠 计生 y Re) 9 tit EE 


Er 区 网 可 信 站 点 。 砚 限 站 点 


启用 
EE he A AetiveX 控件 执行 脚本 + 
目 禁用 


at ET 
人 和 9 全 
该 区 域 的 安全 胃 别 () 


该 区 域 的 宛 许 圾 别 :中 至 凯 


中 高 
Nie 


提示 
| 于 二 扩 2 为 雪人 扫 和 的 Aetivek 接站 化 上 
Netvel 伯伯 | 


加 启用 保护 模式 圭 求 重新 启动 Internet Explorwr) 了 ) 


证 到 PT 重 轩 自 定义 设置 
ee Py - 
将 所 有 区 谍 量 置 为 8 级别 GD) 
| ED Gi Ts 本 一 
图 10.8 “Internet 选项 ”对 话 框 图 10.9 “安全 设置 -Internet 区 域 ”对 话 杠 


注意 ”如果 未 在 下 浏览 器 的 安全 设置 中 启用 这 两 项 , 则 在 申请 证 书 时 就 会 显示 如 图 10.10 


所 示 提 示 框 。 


全 为 了 完成 证 书 注册 ,必须 将 流 CA 的 网 站 配置 为 使 用 HTTPS 身份 洽 
证 , 


图 10.10 提示 框 


如 果 客 户 端 计算 机 没有 加 入 域 , 必须 配置 为 信任 证 书 颁 发 机 构 , 才能 安装 从 证 书 服务 器 申 
请 的 证 书 ， 否 则 ， 将 无 法 安装 。 
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1 打开 Web 浏览 器 , 在 地 址 栏 中 输入 证 书 服务 器 的 
证 书 申请 地 址 ， 格 式 为 http:// 证 书 服务 器 的 IP 地址 
/certsrv， 例 如 : http://192.168.1.10/certsrv， 回 车 ， 显 
示 如 图 10.11 所 示 “ 连 接 到 ”登录 框 。 

条 SR Wrdows erme aper ET 


OO [Erne ED 过 | 
语 全 OF 1 有 EE PE 
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0 2 在 “用 户 名 ”和 “密码 ”文本 框 中 分 别 输入 具 
有 登录 证 书 服务 器 权限 的 用 户 名 和 密码 ， 单 击 “ 确 
定 ” 按 钮 ， 显 示 如 图 10.12 所 示 “Active Directory 
证 书 服务 ”窗口 。 


hep/192 160 tm O meme PG a om 


图 10.11 登录 框 
03 单 击 “ 下 载 CA 证 书 、 证 书 链 或 CRL” 链接 ， 显 
示 “ 下 载 CA 证 书 、 证 书 链 或 CRL” 窗 口 ， 用 来 下 载 
证 书 或 证 书 链 。 单 击 “ 下 载 CA 证 书 ” 超 级 链接 ， 显 示 
如 图 10.13 所 示 “ 文 件 下 载 ” 对 话 框 。 单 击 “ 保 存 ” 按 
钮 ， 将 该 证 书 保存 到 本 地 计算 机 上 。 


A: 192168110 
| 
Som 
理 人 Ei 大 下文 是 测 问 曙 
了 sc 
台新 的 增 量 CRL 


© 


图 10.13 下 载 证 书 


05 依次 单 击 “ 确 定 ” 和 “下 一 步 ”按钮 ， 显 示 “ 正 在 完成 证 书 导 


使 用 此 网 站 为 您 的 Web 浏览 器 、 电 子 部 件 帮 户 氏 或 其他 各 申请 证 书 ， 通 过 僻 用 证 书 , 你 
可 以 网通 过 Web 进行 通信 的 用 户 确 认 他 的 身份 每 名 并 加 邮件 , 并 根据 你 申请 的 证 书 关 
| NR 人 ef 


‖ 各 由 全 用 此 网 站 下 孝王 书 大 发 机 构 ICAJ 正 书证 书 能 ,或 证 书 届 的 列表 (CRL)， 或 者 可 看 
后 99 居 亚 。 


| 有 关 Active Directory 证 书 酸 务 的 详细 全 息 ， 请 参 较 Active Directory 证 书 且 名 文档 , 


A 
全 中 证 


图 10.12 


“Active Directory 证 书 服务 ”窗口 


04 证 书 下 载 完成 以 后 ， 在 Windows 资源 管理 器 
中 选择 所 下 载 的 证 书 文件 ， 右 击 并 选择 快捷 菜单 中 


的 “安装 证 书 ” 选 项 ,运行 “证 书 导 入 向 导 ”， 单 击 
“下 一 步 ”按钮 显示 “证 书 存储 ”对 话 框 ， 用 来 
选择 保存 证 书 的 系统 区 域 。 选 择 “ 将 所 有 的 证 书 放 
入 下 列 存储 ” 单 选 按钮 ， 并 单 击 “ 浏 览 ”按钮 ， 显 
示 “ 选 择 证 书 存储 ”对 话 框 ， 选 择 “受信 任 的 根 证 
书 颁 发 机 构 ” 选 项 ， 然 后 单 击 “ 确 定 ”按钮 ， 如 
10.14 所 示 。 


= = 7 


图 10.14 存储 证 书 


”对 话 框 。 单 击 “ 完 成 ”按钮 ， 显 


示 如 图 10.15 所 示 “ 安 全 性 警告 ”对 话 框 ， 要 求 确 Y aie 单 击 “ 是 ”按钮 ， 提 示 证 书 导入 


成 功 。 此 时 ， 就 可 以 颁发 并 安装 证 书 了 。 
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Windows 不 能 确认 证 书 是 否 来 语 "coolpen-LXH-CA"， 怎 应 沪 与 
和 有 各 助 - 


Hd (hal): A7FE6936 C9265443 40F7960F F5186A5D 38F9F588 | 


3. 申请 证 书 


使 用 过 程 配置 Active Directory (了 R) 证 书 服务 (AD CS) 用 作 注 册 到 域 成 员 客户 端 计算 机 
的 计算 机 证 书 基 础 的 证 书 模板 。 完 成 此 过 程 之 后 , 域 成 员 客户 端 计算 机 会 在 刷新 组 策略 时 自动 
注册 客户 端 计算 机 证 书 。 若 要 刷新 组 策略 ， 请 重新 启动 客户 端 计算 机 ， 或 者 在 命令 提示 符 下 运 
行 gpupdate 命令 。 

登录 到 “Active Directory 证 书 服务 ”窗口 ， 在 “欢迎 使 用 ”窗口 中 单 击 “申请 证 书 ” 超 链 
接 ， 显 示 “ 申 请 一 个 证 书 ” 窗 口 。 单 击 “ 用 户 证 书 ” 链 接 ， 显 示 “ 用 户 证 书 一 识别 信息 ”窗口 。 
单 击 “ 提 交 ” 按 钮 ， 即 可 向 证 书 服务 器 申请 证 书 ， 完 成 后 显示 “证 书 已 颁发 ”窗口 ， 提 示 所 申 
请 的 证 书 已 颁发 ， 如 图 10.16 所 示 。 单 击 “ 安 装 此 证 书 ” 超 链接 ， 显 示 “ 证 书 已 安装 ”窗口 ， 
即 表示 证 书 已 经 安装 。 


fe) bape seasonert ceriase. » 67 x ie Sees En 
家 窑 几 werosohameDnaoy 志 | | 全 "日 "时 EDOIRD 


T 需 杰 进一步 的 SH。 各 和 Mocch ame Dieoony EER 全 "日 "入" D7OIMOD 
> 一 一 一 - 
[microsert iets rctwy EA ceetperi CL | 
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于 世 您 申请 的 证 书 已 令 发 结 您 。 
加 si 于 
PR 
Owenelerat en sm | 


图 10.16 ”申请 和 安装 证 书 
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10.3.2 使 用 “证 书 申请 向 导 ” 申 请 证 书 


要 使 用 “证 书 申请 向 导 ” 向 企业 根 CA 申请 证 书 ， 客 户 端 计算 机 必须 先 加 入 域 ， 并 且 使 用 
域 用 户 登 录 到 域 。 这 里 以 Windows Vista 为 例 ， 介 绍 如 何 申请 证 书 。 


01 使 用 域 用 户 帐户 登录 到 Windows Vista 系统 。 打 开 “ 开 始 ” 菜 单 ， 在 “开始 搜索 ”文本 框 中 输入 mmc 
命令 ， 回 车 ， 打 开 “ 控 制 全 1” 窗 口 。 单 击 “ 文 件 ” 菜 单 中 的 “添加 /删除 管理 单元 ”选项 ， 显 示 “ 添 加 
或 删除 管理 单元 ”对 话 框 。 在 “可 用 的 管理 单元 ”列表 框 中 选择 “证 书 ”选项 ， 单 击 “ 添 加 ”按钮 ， 添 
加 到 右 侧 “所 选 管理 单元 ”列表 框 中 ， 如 图 10.17 所 示 。 


局 文 听 D” 斤 fr) 本 看 WW) 必 厌 大 Q OW) 在 的 中 -le 
“四 | 同日 加 
EL EE a 
和 NR 
Et 
me ee HFN RE EEE 
Mee | 
Ha LT 
SEE 和 
ET 
Bu 
Ear 
[mm | 


图 10.17 添加 证 书 到 所 选 管理 单元 
四 2 单 击 “ 确 定 ”按钮 ， 将 证 书 管理 单元 添加 到 控制 台中 。 依 次 展开 “证 书 - 当前 用 户 ”， 选 择 “ 个 人 ”， 
右 击 并 选择 快捷 菜单 中 的 “所 有 任务 ”一 “申请 新 证 书 ” 命 令 ， 启 动 “ 证 书 注册 ”向 导 。 单 击 “ 下 一 步 ” 
按钮 ， 显 示 如 图 10.18 所 示 “ 申 请 证 书 ” 对 话 框 ， 在 列表 框 中 选择 欲 申请 的 证 书 类 型 ， 单 击 “ 详 细 信息 ” 
按钮 ， 可 以 查看 该 证 书 的 详细 信息 。 默 认 情 况 下 ， 只 列 出 了 可 用 的 证 书 模板 。 


图 10.18 申请 证 书 
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(03 单 击 “注册” 按钮 ， 系 统 会 向 证 书 服务 器 申请 注册 并 自动 安装 ， 成 功 完成 后 单 击 “ 完 成 ”按钮 关闭 证 书 
注册 向 导 ， 并 返回 控制 合 。 依 次 展开 “证 书 - 当前 用 户 ” 一 “个 人 ”一 “证 书 ” 选 项 ， 即 可 看 到 已 注 
a 成 DEB 
至 此 ， 证 书 注册 完成 。 返 回 Windows Server 2008 证 书 服务 器 ， 依 次 单 击 “ 开 始 ” 一 “ 管 
理工 具 ” 一 “Certification Authority” 命 令 ， 打开“ 证 书 颁发 机 构 ” 窗 口 。 选 择 “ 颁 发 的 证 书 ”， 
即 可 看 到 所 有 已 颁发 的 证 书 ， 如 图 10.19 所 示 。 
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文件 四， 操作 必 ， 查看 WD 帮助 如 
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图 10.19 颁发 的 证 书 


10.3.3 导出 与 导入 证 书 


为 了 防止 因 意外 故障 或 者 重新 安装 系统 而 造成 证 书 损坏 或 丢失 ,用 户 可 以 事先 将 证 书 导出 
以 进行 备份 ， 而 当 需 要 还 原 时 ， 只 需 将 证 书 导 入 即 可 ， 不 必 再 重新 申请 。 


1. 导出 证 书 
在 Windows Server 2008 中 对 证 书 进 行 导出 ， 其 具体 操作 步骤 如 下 。 


01 在 客户 端 计算 机 上 运行 “mmc” 命 令 ， 打 开 控制 合 窗口 ， 添 加 “证 书 ”管理 单元 。 展 开 要 备份 的 证 书 所 
在 的 位 置 ， 例 如 “证 书 - 当前 用 户 ” 一 “个 人 ”一 “证 书 ”选项 ， 选 择 欲 导出 的 证 书 ， 右 击 并 依次 先 
择 快捷 菜单 中 的 “所 有 任务 ”一 “导出 ”命令 ， 运 行 “ 证 书 导出 向 导 ”。 单 击 “ 下 一 步 ”按钮 ， 显 示 如 
图 10.20 所 示 “ 导 出 私 钥 ” 对 话 框 ， 选 择 是否 要 导出 私 钥 。 
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10.20 导出 私 钥 


0 2 依次 单 击 “下 一 步 ” 按钮， 设置 导出 证 书 文件 格式 和 保存 路 径 ， 如 图 10.21 所 示 。 完 成 设置 后 在 “正在 
完成 证 书 导 出 向 导 ” 对 话 框 中 ， 单 击 “ 完 成 ”按钮 ， 即 可 提示 用 户 “ 导 出 ”成 功 。 至 此 ， 导 出 证 书 完毕 。 


2. 导入 证 书 


打开 “控制 台 ” 窗 口 ， 添 加 “证 书 ” 管 理 单元 ， 展 开 “ 个 人 ”， 右 击 “证 书 ” 并 依次 选择 
快捷 菜单 中 的 “所 有 任务 ”一 “导入 ”命令 ， 运 行 “ 证 书 导入 向 导 ”。 单 击 “ 下 一 步 ” 按 钮 ， 
显示 “要 导入 的 文件 ”对 话 框 ， 单 击 “ 浏 览 ” 按钮， 选择 以 前 导出 的 证 书 文件 。 单 击 “ 下 一 步 ” 
按钮 ， 选 择 证 书 的 存储 位 置 ， 如 图 10.22 所 示 。 依 次 单 击 “ 下 一 步 ”按钮 ， 直 至 完成 “证 书 导 
入 向 导 ” 即 可 。 
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时 zaows 可 以 生动 这 泽 下 书 存 诗 ， 或 者 您 可 以 为 开 书 括 定 一 个 位 置 。 
盯 视 振 让 书 关 型 ， 自 动迁 择 证 书 存 六 如 
i ND 1 


ET 
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个 人 信息 交换 - PICS #2 ?FX, .P12) 
加 本 消 入 天 法 标准 -PRTS #7 证 蔬 CFTE) 
Micreso 系列 汪 书 存储 CS5T) 
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从 
了 及 仁 格 xz 和 详 和 六 息 
Es 了 其 正在 庆 的 更 多 信息 
一 | 
图 10.22 导入 证 书 


10.4 独立 证 书 服务 器 的 应 用 


独立 证 书 服务 器 由 于 没有 加 入 域 ， 因 此 ， 不 能 使 用 “证 书 申请 向 导 ” 来 申请 证 书 ， 只 能 以 


Web 方式 向 证 书 服务 器 申请 证 书 。 为 了 证 书 服务 的 安全 ， 当 用 户 申请 证 书后 间 


必须 由 管理 员 颁发 后 才能 使 用 。 


10.4.1 


在 向 服务 器 申请 证 书 时 ， 必 须 先 做 好 如 下 准备 工作 : 


申请 证 书 


F 不 会 立即 安装 ， 


于 在 本 浏览 器 的 安全 设置 中 ， 将 “对 未 标记 为 可 安全 执行 脚本 的 ActiveX 控件 初始 化 并 
执行 脚本 (不 安全 )” 和 “允许 运行 以 前 未 使 用 的 ActiveX 控件 而 不 提示 ” 均 选 择 为 “ 启 


用 (不 安全 )” 


选项 ; 


下 下 载 CA 证 书 并 导入 到 客户 端 计算 机 上 ， 使 其 信任 证 书 颁发 机 构 。 
向 独立 服务 器 申请 证 书 的 操作 步骤 如 下 。 


01 在 IE 浏览 器 中 打开 
所 示 证 书 服务 主页 。 


0 2 单 击 “申请 证 书 ”超级 链接 ， 显 示 如 图 
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申请 独立 根 证 书 的 


也 址 ， 格 式 为 http:// 证 书 服务 器 IP 地 址 /certsrv， 显 示 如 医 


10.24 所 示 “ 申 请 一 个 证 书 ” 窗 口 。 可 以 直接 申请 Web 浏览 器 
证 书 或 电子 邮件 证 书 ， 也 可 以 提交 高 级 证 书 申请 。 


10.23 证 书 服务 主页 图 10.24 “申请 一 个 证 书 ” 窗 口 


提示 “如果 要 申请 其 他 类 型 的 证 书 ， 可 单 击 “ 训 级 证 书 申请 ”链接 。 同 时 ， 还 可 以 选择 不 
\ 闻 同 的 窗外 类 型 ， 如 图 1025 所 示 。 


10.25 高 级 证 书 申请 


0 3 这 里 以 申请 电子 邮件 保护 证 书 为 例 。 单 击 “ 电 子 邮 件 保护 证 书 ”超级 链接 ， 显 示 如 图 10.26 所 示 “ 电 子 
邮件 保护 证 书 。 识别 信息 ”窗口 ， 输 入 电子 邮件 保护 证 书 的 识别 信息 即 可 。 


图 10.26 申请 电子 邮件 证 书 


241 


Ag 
属 Windows Server 2008 系统 安全 管理 实战 指南 


提示 。 如 果 不 想 使 用 默认 的 密 铀 类 型 ,可 以 单 击 “ 更 多 选项 "链接 , 显示 如 图 10.27 所 示 ， 
县 在 “选择 一 个 加 密 服 务 提供 程序 ”下 拉 列 表 中 可 选择 不 同 的 密 铀 程序 。 


GO rere EGE En 


疝 丰 下 Meaohicar err EE Pr TE 


AES RE 


在 的 权 中 标的 储 。 
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图 10.27 选择 不 同 密 钥 类 型 


04 单 击 “提交 ” 按 钮 ， 开 始 向 证 书 服务 器 发 送 请 求 ， 显 示 如 图 10.28 所 示 “ 证 书 正在 挂 起 ”窗口 。 提 示 已 
发 出 申请 ， 但 必须 等 待 管理 员 来 颁发 证 书 。 


Oe ronson -| as p> 


从 和 大 Moieh actiwe Dredon EES 全 "日 "全 "07 OIND” 


[ccasare see :ems E585 
证 书 正在 挂 起 


和 的 证 书 申请 已 经 收 到 ， 但 是 ， 您 必须 等 竺 管理 员 令 发 如 四 请 的 证 书 。 
您 的 中 请 ID 为 2. 
请 在 一 天 或 两 天 内 话 回 此 网 站 以 检索 你 的 证 书 . 


9: GOA Web 2 10 A 


图 10.28 “证 书 正在 挂 起 ”窗口 


10.4.2 ”颁发 证 书 


此 时 ， 在 Windows Server 2008 服务 器 上 ， 需 要 由 管理 员 查 看 证 书 申请 ， 并 颁发 证 书 。 


1 登录 到 证 书 服务 器 ， 依 次 单 击 “ 开 始 ”一 “ 管 ”2 选择 欲 颁发 的 证 书 , 右 击 并 依次 选择 快捷 菜单 中 
理工 具 ” 一 “Certification Authority ”命令 ， 打 开 “的 “所 有 任务 ”一 “颁发 ”命令 ， 即 可 颁发 该 证 书 。 
“certsrv” 窗 口 。 在 左 侧 栏 中 选择 “ 挂 起 的 申请 ” 选 ” 同 时， 已 颁发 的 证 书 将 会 自动 转 到 “颁发 的 证 书 ” 窗 
项 , 即 可 显示 所 有 提交 的 证 书 申请 , 如 图 10.29 所 示 。 口中 ， 如 图 10.30 所 示 。 
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图 10.29 “ 挂 起 的 申请 图 10.30 颁发 的 证 书 


此 时 ， 证 书 售 发 完成 ， 在 客户 端 计算 机 上 就 可 以 安装 或 下 载 证 书 了 。 
10.4.3 ”在 客户 端 安装 证 书 


在 客户 端 计算 机 上 ， 重 新 打开 证 书 服务 主页 ， 单 击 “查看 挂 起 的 证 书 申请 的 状态 ”链接 ， 显 
示 “ 查 看 挂 起 的 证 书 申请 的 状态 ”窗口 ， 列 出 了 曾经 申请 的 证 书 。 单 击 证 书 名 称 ， 例 如 “电子 邮 
件 保护 证 书 ” 显示 “证 书 已 颁发 ”窗口 ， 提 示 该 证 书 已 颁发 ， 可 以 安装 了 。 单 击 “ 安 装 此 证 书 ” 
链接 ， 显 示 “ 证 书 已 安装 ”窗口 ， 即 可 将 该 证 书 安装 在 本 地 计算 机 上 ， 如 图 10.31 所 示 。 


音节 
全 人 jPE 世 [2008 年 ) 有 21LB 1056 汉 | 
7 


GO fe wermim imme "|x | Samr ra 
案 图 大 Manoeohuaepreroy- | 全" 日- 机 "D7OIAQD 
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证 安装 
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图 10.31 在 客户 端 安装 证 书 


10.5 证书 服务 器 的 备份 与 还 原 


为 了 防止 证 书 服务 器 因 意 外 故障 或 证 书 被 误 删 而 导致 证 书 丢失 ， 对 用 户 的 使 用 造成 损失 ， 


243 一 


Ry 
属 Windows Server 2008 系统 安全 管理 实战 指南 


管理 员 和 用 户 都 应 定期 备份 证 书 服务 器 中 的 证 书 , 以 便 在 证 书 丢失 或 损坏 时 能 够 及 时 还 原 , 可 
继续 使 用 而 不 必 再 重新 申请 。 


10.5.1 证 书 的 备份 


把 服务 器 证 书 从 服务 器 备份 出 来 , 以 便服 务 器 硬件 或 软件 系统 坏 了 需要 重 装 系统 时 可 以 重 
装 服务 器 证 书 。 


和 01 以 管理 员 用 户 身份 登录 到 证 书 服务 器 ， 打 开 “ 证 书 颁发 机 构 ”窗口 ， 右 击 证 书 服务 器 名 称 ， 依 次 选择 快 
捷 菜 单 中 的 “所 有 任务 ”一 “备份 CA” 命 令 ， 运 行 “ 证 书 颁 发 机 构 备份 向 导 ”。 单 击 “ 下 一 步 ”按钮 ， 
显示 如 图 10.32 所 示 “ 要 备份 的 项 目 ”对 话 框 ， 在 “选择 要 备份 的 项 目 ” 选 项 区 域 中 ， 选 择 要 备份 的 纪 
件 ， 如 “ 私 钥 和 CA 证 书 ””“ 证 书 数据 库 和 证 书 数据 库 日 志 ”， 在 “备份 到 这 个 位 置 ”文本 框 中 输入 备 
份 证 书 的 保存 路 径 ， 或 单 击 “ 浏 览 ”按钮 选择 。 

0 .2 单 击 “下 一 步 ” 按钮， 显示 如 图 10.33 所 示 “ 选 择 密码 ”对 话 框 。 为 安全 起 见 ， 可 在 “密码 ”文本 框 中 
设置 访问 CA 证 书 文件 的 密 钥 ， 防 止 被 其 他 人 访问 。 


证 书信 发 机 构 备份 向 导 


证 书 和 发 机 构 备份 向 号 


要 新作 的 项 目 和 各 朋 | 
六 从 到 机 可 提 9 昌 个 夫 件 - 区 到 Eo 衣 守 少 各， 过 要 匀 0 外。 各 有 机 N89。 #3 
进 择 要 备份 的 项 目 : 重要 这 个 要 到 来 访 j 科 加 和 CA 证 书 文件 > 
友和 和 Ck ED) 人 

[RN 
万 局 办 
EI 
人 


注意 : 备份 号 录 做 所 是 空 的 。 


《上 - 步 四 | 下 - 步 四 )| 了 少 大 了 消 基肥 


图 10.32 “要 备份 的 项 目 ” 对 话 框 图 10.33 “选择 密码 ”对 话 杠 
03 单 击 “ 下 一 步 ” 按钮， 显示 “正在 完成 证 书 颁发 机 构 备份 向 导 ” 对 话 框 。 单 击 “ 完 成 ”按钮 ， 即 可 备份 
证 书 。 


10.5.2 ”证书 的 还 原 


对 服务 器 证 书 进行 还 原 操 作 ， 以 便 及 时 应 用 证 书 。 


01 在 “证 书 颁发 机 构 ”窗口 中 , 右 击 证 书 服务 器 名 ， 2 单 击 “ 确 定 ”按钮 ， 停 止 Active Directory 证 书 

依次 选择 快捷 菜单 中 的 “所 有 任务 ”一 “还 原 CA” 命 ”服务 ,并 启动 证 书 颁 发 机 构 还 原 向 导 。 单 击 “ 下 一 步 ” 

令 ， 显 示 如 图 10.34 所 示 提 示 框 ， 提 示 还 原 证 书 过 程 ”按钮 ， 显 示 如 图 10.35 所 示 “要 还 原 的 项 目 ”对 话 框 ， 

中 不 能 运行 Active Directory 证 书 服务 ， 需 要 立即 停止 ”在 “选择 要 还 原 的 项 目 ” 选 项 区 域 中 选择 要 还 原 的 选 

证 书 服务 。 项 ， 在 “从 这 个 位 置 还 原 ” 文 本 框 中 输入 备份 证 书 所 
在 的 路 径 ， 或 者 单 击 “ 浏 览 ” 按 钮 选择 。 
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和 证 书 服务 。 您 想 立即 停 
Aetive Directory 


图 10.34 提示 框 图 10.35 “要 还 原 的 项 目 ”对 话 杠 
03 单 击 “ 下 一 步 ” 按钮， 显示 如 图 10.36 所 示 “ 提 ”0 4 单 击 “下 一 步 ” 按 钮 ， 显 示 “ 证 书 颁 发 机 构 还 原 
供 密码 ”对 话 框 ， 在 “密码 ”文本 框 中 输入 备份 CA 向导” 对 话 框 。 单 击 “ 完 成 ”按钮 ， 证 书 还 原 成 功 ， 显 
时 设置 的 密码 。 示 如 图 10.37 所 示 对 话 框 ， 提 示 是 否 要 启动 服务 。 


图 10.36 “提供 密码 ”对 话 杠 


05 单 击 “是” 按钮， 启动 Active Directory 证 书 服务 。 


10.6 ”证 书 服务 的 管理 


在 企业 中 ， 人员 变动 是 经 常 发 生 的 事 ， 当 员工 离开 公司 或 调 到 其 他 部 门 ,该 员工 原来 申请 
的 证 书 将 不 再 使 用 ， 此 时 ， 网 络 管理 员 就 应 及 时 吊销 其 证 书 。 证 书 都 有 一 定 的 有 效 期 限 ， 为 了 
保证 在 有 效 期 过 后 仍 能 继续 使 用 ， 应 及 时 更 新 或 者 续 订 。 


10.6.1 吊销 证 书 


如 果 某 些 证 书 不 再 使 用 ， 即 可 将 其 吊销 。 不 过 ， 吊 销 证 书 只 能 在 证 书 服务 器 上 进行 ,客户 
机 无 法 吊销 证 书 。 
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0 1 登录 到 证 书 服务 器 ， 打 开 “ 证 书 颁 发 机 构 ” 控 制 合 ， 在 “颁发 的 证 书 ”窗口 中 选择 欲 吊销 的 证 书 ， 右 击 
并 依次 选择 快捷 菜单 中 的 “所 有 任务 ”一 “吊销 证 书 ” 显示 如 图 10.38 所 示 “ 证 书 吊销 ”对 话 框 ， 在 
“理由 码 ”下拉 列 表 中 可 选择 吊销 的 原因 。 
上 2 单 击 “ 是 ”按钮 ， 即 可 吊销 该 证 书 。 当 证 书 被 吊销 以 后 ， 将 显示 在 “吊销 的 证 书 ” 窗 口中 ， 如 图 10.39 
所 示 。 


人 

请 定 中 的 原因 、 日 和 时 间 。 
理由 码 鸭 : 
[| 


Cav | sw | 


图 10.38 “证 书 吊销 ”对 话 框 


10.6.2 解除 吊销 的 证 书 


如 果 有 些 已 吊销 的 证 书 需 要 继续 使 用 , 就 可 以 将 这 些 证 书 解除 吊销 。 不过, 需要 注意 的 是 ， 
只 有 吊销 原因 为 “证 书 待定 ”的 证 书 才能 解除 吊销 ， 其 
他 原因 吊销 的 证 书 将 不 能 解除 。 

在 “吊销 的 证 书 ” 窗 口中 选择 欲 解除 吊销 的 证 书 ， 
右 击 并 依次 选择 快捷 菜单 中 的 “所 有 任务 ”一 “解除 吊 C 焉 呈 
销 证 书 ” 即 可 。 
如 果 证 书 不 能 被 解除 吊销 , 将 显示 如 图 10.40 所 示 提 
示 框 ， 提 示 取 消 吊 销 失 败 。 


0 Ei 只 有 因为 “证 书 竺 定 ” 而 吊销 的 证 书 才 


图 10.40 解除 吊销 失败 


10.6.3 证 书 续 订 


证 书 都 有 一 定 的 有 效 期 限 ， 当 有 效 期 过 后 ,证 书 将 会 无 效 。 因此 ， 若 要 继续 使 用 证 书 ， 就 
必须 在 证 书 到 期 前 更 新 或 者 续 订 。 证 书 的 续 订 又 分 为 用 新 密 钥 续 订 和 使 用 相同 密 钥 续 订 此 证 
书 。 不 过 ， 只 有 登录 到 域 以 后 才 有 权 续 订 证 书 。 


1. 用 新 密 钥 续 订 证 书 


0 1 在 客户 端 计算 机 上 运行 MMC 命令 打开 控制 合 ， 添 加 “证 书 ”管理 单元 。 依 次 展开 “个 人 ”一 “证 书 ” 
选项 ， 选 择 欲 续 订 的 证 书 ， 右 击 并 依次 选择 快捷 菜单 中 的 “所 有 任务 ”一 “用 新 密 钥 续 订 证 书 ” 命 令 ， 
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运行 “证 书 注册 ”向 导 。 单 击 “ 下 一 步 ”按钮 ， 显 示 “ 申 请 证 书 ” 对 话 框 ， 列 出 了 可 以 请 求 的 证 书 。 单 
击 “ 详 细 信息 ”按钮 ， 可 以 查看 该 证 书 的 详细 信息 。 单 击 “ 注 册 ” 按 钮 ， 开 始 向 证 书 服务 器 注册 。 完 成 


后 显示 “证 书 安装 结果 ”对 话 框 ， 提 示 注 册 成 功 ， 如 图 10.41 所 示 。 


图 10.41 用 新 密 钥 续 订 证 书 
0 2 单 击 “ 完 成 ”按钮 ， 证 书 申请 成 功 。 


2. 用 相同 密 钥 续 订 证 书 
打开 “证 书 ” 管理 单元 , 选择 欲 续 订 的 证 书 , 右 击 并 选择 快捷 菜单 中 的 “所 有 任务 ”一 “高 
级 操作 ”一 “使 用 相同 密 钥 续 订 此 证 书 ”命令 ,运行 证 书 注册 向 导 。 单 击 “ 下 一 步 ”按钮 ， 显 
示 “ 申 请 证 书 ” 对 话 框 ， 列 出 了 要 请 求 的 证 书 。 单 击 “ 注 册 ” 按 钮 ， 开 始 向 证 书 服务 器 注册 ， 
完成 后 显示 “证 书 安装 结果 ”对 话 框 ， 单 击 “ 完 成 ”按钮 即 可 ， 如 图 10.42 所 示 。 


图 10.42 用 相同 密 钥 续 订 证 书 


10.7 证书 服务 安全 现状 


通常 情况 下 ,证书 是 为 其 他 网 络 应 用 提供 服务 的 ， 如 电子 邮件 签名 、 安 全 站 点 搭建 、 电 子 
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商务 加 密 等 。 一 旦 证 书 泄露 或 被 截获 ， 将 直接 造成 巨大 损失 。 在 活动 目录 中 当 部 署 证 书 服务 的 
时 候 ， 可 能 会 遇 到 以 下 各 种 问题 : 

mm CA 密 钥 对 丢失 ; 

尝试 修改 证 书 模板 ; 

日 尝试 修改 CA 设置 ; 

里 阻止 证 书 吊销 ; 

m 非 授权 的 用 户 密 钥 还 原 ; 

四 独立 管理 员 的 CA 问题 ; 

和 附加 不 可 信任 的 CA 到 信任 根 CA 存储 ; 

m 注册 代理 发 布 非 授权 证 书 。 


10.7.1 CA 密 钥 对 丢失 


在 CA 密 钥 ， 可 以 对 信息 进行 加 密 和 解密 。 第 一 个 密 钥 是 私 钥 ， 第 二 个 密 钥 是 公 钥 。 这 两 
个 密 钥 虽然 不 同 ， 但 在 功能 上 是 互补 的 。 例 如 ， 公 钥 可 以 在 目录 证 书 中 发 行 ， 方便 组 织 中 的 其 
他 人 员 可 以 对 其 访问 。 消 息 的 发 送 方 可 以 从 活动 目录 中 检索 用 户 的 证 书 ， 从 中 获取 公 钥 ， 然 后 
通过 公 钥 对 发 送信 息 进行 加 密 。 接 受 方 就 可 以 通过 私 钥 对 其 解密 。 

为 了 有 效 保护 CA 不 受 入 侵 者 的 攻击 可 以 采用 以 下 措施 : 

使 用 FIPS140-2 来 对 CA 密 钥 进行 硬件 保护 。HSM 可 以 保护 CA 密 钥 使 之 处 于 安全 令 

牌 的 保护 之 下 ,单独 一 个 人 是 无 法 获取 对 密 钥 的 访问 权限 的 ; 
四 监测 并 控制 本 地 管理 员 组 成 员 ， 限 制 能 够 访问 CA 密 钥 的 用 户 。 


提示 。FIPS 是 美国 联邦 信息 处 理 标准 的 缩写 , FIPS140-2 标准 指定 了 密码 模块 需要 被 满足 

\ 弯 的 安全 需求 ， 该 模块 被 应 用 在 安全 系统 之 中 保护 敏感 数据 。HMS 是 Hierarchical 
Storage Management 的 缩写 ， 意 为 “分 层 存储 管理 ， 可 以 自动 地 将 访问 频率 较 低 
的 数据 移动 到 较 低 的 存储 层次 中 ,同时 将 访问 频率 较 高 的 数据 移动 到 较 高 的 存储 层 
次 中 。 


10.7.2 修改 证 书 模板 


Microsoft 证 书 颁 发 机 构 支 持 3 种 类 型 的 证 书 模板 : 版 本 1、 版 本 2 和 版 本 3。 在 Windows 
Server 2003 Standard Edition 和 Windows 2000 Server 设置 的 CA 仅 支 持平 版 本 1 模板 ， 在 
Windows Server 2003 Enterprise Edition 和 Windows Server 2003 Datacenter Edition 设置 的 CA 支 
持 版 本 1 模板 和 版 本 2 模板 ， 而 Windows Server 2008 上 设置 的 CA 支持 所 有 这 3 个 版 本 。 版 
本 3 证 书 模板 只 能 由 客户 端 在 运行 Windows Server 2008 或 Windows vista 的 计算 机 上 使 用 。 


里 版 本 1 证 书 模板 。 安 装 CA 时 会 默认 创建 这 些 模 板 , 但 无 法 进行 删除 或 修改 ,管理 范围 
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十 分 有 限 ; 

到 版 本 2 证 书 模板 。 允 许 自 定义 模板 的 大 多 数 设置 , 如 自 定义 是 否 能 导出 与 证 书 相关 的 私 
钥 、 自 定义 证 书 模板 支持 的 加 密 服 务 提供 商 (CSP) 等 ; 

里 版 本 3 证 书 模板 。 允 许 管理 员 向 其 证 书 中 添加 高 级 Suite B 加 密 设置 。Suite B 加 密 设 
置 包括 数字 签名 、 密 钥 交 换 和 哈 希 的 高 级 选项 等 。 但 版 本 3 的 证 书 模板 只 能 在 Windows 
Server 2008 的 服务 器 上 安装 上 且 在 Windows Server 2008 和 Windows Vista 的 客户 端 上 使 
用 的 CA 进行 颁发 。 


如 果 入 侵 者 获取 了 管理 员 级 的 权限 ,就 能 修改 证 书 模板 的 属性 , 可 以 进行 下 列 的 恶意 修改 : 


里 对 于 版 本 2 证 书 模板 , 入侵 者 只 能 修改 单个 证 书 模板 权限 , 但 修改 权限 可 以 使 入 侵 者 能 
够 注册 一 个 具有 额外 权限 的 证 书 ， 从 而 能 以 其 他 用 户 的 名 义 来 请 求 额外 的 证 书 了 ; 

里 对 于 版 本 2 和 版 本 3 的 证 书 模板 ,入侵 者 更 改 的 范围 将 更 加 广泛 ,添加 删除 用 户 、 证 书 
模板 替换 等 。 


为 了 防范 入 侵 者 的 入 侵 和 恶意 算 改 , 管理 员 应 经 常 检查 已 部 署 的 证 书 模板 ,确保 与 规划 的 
相符 合 。 未 经 验证 的 用 户 不 能 有 对 证 书 模板 的 读 取 和 写 入 权限 。 


10.7.3 修改 CA 设置 
如 果 入 侵 者 得 到 了 CA 管理 员 权限 , 那么 就 可 [erem em 

以 修改 CA 设置 。 为 了 防范 这 种 情况 的 发 生 ， 可 以 RE 

限制 CA 管理 组 中 的 成 员 ， 更 改 以 注册 表 项 的 形式 |“ 


-orp_TINJOSLETF2NNT-CA 属性 
| | 有 寺 。 定 作 | 实 全 | 


存储 ,设置 成 只 有 本 地 管理 组 的 成 员 和 具备 CA 管 Ci 
理 权限 的 组 才能 对 其 进行 修改 。 为 了 监测 修改 CA He 
设置 的 用 户 可 以 开启 针对 CA 的 审核 。 上 

依次 选择 “开始 ”一 “管理 工具 ”一 “Certification FN 


Authority” 命 令 , 显示 “certsrv 一 [证 书 颁发 机 构 (本 后 
地 )] ”窗口 。 右 击 ^comp-WIN-HKSLEYF2MMTCA” 
选项 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”选项 ， 打 
“corp-WIN-WIN-HKSLEYF2MMT-CA 属性 ” 窗 ew | 
口 ， 切 换 至 如 图 10.43 所 示 “ 审 核 ” 选 项 卡 ， 选 择 
需要 审核 事件 的 复 选 框 ， 单 击 “ 确 定 ” 按 钮 即 可 。 


图 10.43 “审核 ”选项 卡 


10.7.4 阻止 证 书 吊销 


每 一 个 证 书 都 有 一 个 使 用 期 限 。 吊 销 证 书 就 是 证 书 在 还 没有 到 有 效 期 前 不 能 作为 有 效 的 受 
信任 的 安全 凭据 。 入侵 者 常常 使 用 各 种 方法 阻止 证 书 的 吊销 ， 从 而 进行 非法 活动 ,通常 使 用 以 
下 方法 : 
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(1) 入 侵 者 可 以 阻止 软件 证 书 的 吊销 检查 


疯 | 办 | 认 | 后 | 小 | 释 部 | 
例如 ， 在 Intemet Explorer 7.0 中 ， 默 认 会 自动 检查 证 书 的 
帅 销 状态 ， 如 图 10.44 所 示 “Intemet 选项 ”对 话 框 。 


(2) 入 侵 者 可 以 阻止 访问 CA 或 是 CRL 证 书 服务 器 
如 果 某 程序 没有 缓存 正确 的 CRL 或 是 CA 证 书 版 本 , 那 


全 ssr30 


国 图 口 口 国 回国 固 固 固 口 


人 上 的 宁 件 由 试行 4 司 
么 该 程序 将 会 尝试 以 下 列 方式 获取 ; ee 
| 这 两 高 级 设置 吧 ) 
。 如 果 革 证 书 已 更 新 ， 则 可 以 从 AIA (授权 检验 机 构 ) | nin 
下 载 证 书 如 在 济 避 过 处 于 无 法 使 用 的 状态 时 ， 才 使 用 此 设 署 。 
可 以 从 CRL 下 载 基础 CRL 或 是 DELTA CRL。 | 区 用 办 


(3 ) 入 侵 者 可 以 阻止 对 作为 OCSP ( 在 线 证 书 状 态 响 应 。 图 10.4 “Intemet 选项 ”对话 框 
协议 ) 响应 的 服务 器 群 的 访问 
一 个 OCSP 客户 端 发 布 一 个 状态 查询 给 一 个 OCSP 响应 器 并 且 监 听 当 前 证 书 直到 响应 器 
提供 一 个 响应 。OCSP 协议 表述 了 在 应 用 程序 检查 证 书 状 态 和 服务 器 提供 状态 之 间 所 需要 交换 
的 数据 。 证 书 状态 值 中 使 用 了 一 些 确 定 回复 识别 : 
良好。 表示 一 个 对 状态 查询 的 积极 回复 , 这 个 积极 回复 表示 这 张 证 书 没有 被 撤销 , 但 不 
一 定 意味 着 这 张 证 书 曾经 被 颁发 过 或 是 产生 这 个 回复 在 证 书 有 效 期 内 。 
四 已 撤销 。 表 示 证 书 已 经 被 撤销 ， 无 论 是 临时 性 的 还 是 永久 性 的 。 
和 未 知 。 表 示 响 应 器 不 知道 请 求 的 证 书 ， 如 果 OCSP 客户 端 无 法 与 OCSP 响应 器 通信 ， 
则 程序 就 会 吊销 证 书 。 
提示 。 如 果 使 用 OSCP 来 进行 对 证 书 的 吊销 检查 ， 则 必须 确保 OCSP 响应 器 对 于 所 有 证 


\ 谤 书 的 吊销 检查 都 是 可 用 的 。 
10.7.5 “授权 的 用 户 密 钥 还 原 


在 Windows Server 2008 Enterprise 或 是 Windows Server 2008 Database 中 ， 人 允许 用 户 通过 
加 密 证 书 对 密 钥 进行 各 种 操作 。 
如 果 入 侵 者 既 有 证 书 管理 员 权限 又 有 密 钥 恢 复权 限 , 那么 他 就 可 以 从 CA 数据 库 中 截获 
户 的 证 书 和 密 钥 ,能够 解密 被 证 书 所 保护 的 信息 。 即 使 用 户 启 用 了 签名 ， 入侵 者 也 能 够 模仿 
户 的 数字 签名 。 


10.7.6 ”附加 不 可 信任 的 CA 到 信任 的 根 CA 存储 


如 果 入 侵 者 将 不 可 信任 的 CA 添加 到 信任 根 CA 存储 ， 则 该 证 书 将 连 到 信任 根 CA 证 书 中 
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的 全 部 证 书 ， 都 会 被 认为 是 可 信任 的 。 
在 Windows Server 2008 中 ， 默 认 的 防范 伪 根 CA 证 书 的 机 制 有 以 下 几 种 : 
下 用 户 帐 户 控制 。 只 有 本 地 管理 员 组 的 成 ra 
员 才 可 以 添加 根 CA 证 书 到 计算 机 的 信 。 [Exaies 着 


任 根 存储 中 。 如 果 入 侵 者 做 了 一 个 伪 根 sm ee | 
证 书 , 则 UAC (用 户 帐户 控制 ) 就 会 向 . 
客户 端 发 出 警告 ; 

信任 根 组 策略 。 组 策略 允许 用 户 定义 添 
加 的 根 CA 证 书 规则 ; 

下 管理 域 的 受信 任 根 证 书 。 


0 1 依次 选择 “开始 ”一 “管理 工具 ”一 “组 策略 管 
理 ” 选 项 , 显示 如 图 10.45 所 示 的 “组 策略 管理 ” 图 10.45 “组 策略 管理 ”窗口 
窗口 。 

上 2 选择 “ 林 : corp.contoso.com” 一 “ 域 ”一 “组 策略 对 象 ” 右 击 “Default Domain Policy” 选 项 ， 在 快 
捷 菜 单 中 选择 “编辑 ”选项 ， 显 示 “ 组 策略 管理 编辑 器 ”窗口 。 依 次 选择 “计算 机 配置 ”一 “策略 ”一 
“Windows 设置 ”一 “安全 设置 ”一 “ 公 钥 策略 ”选项 ， 在 右 侧 窗 格 中 双击 “证 书 路 径 验 证 设置 ” 选 
项 ， 显 示 如 图 10.46 所 示 “ 证 书 路 径 验证 设置 属性 ”对 话 框 。 


ES .一 
EC 。 渤 汪 
FILTERTFERCTIN 了 394 


证 书 路 各 验证 设置 属性 
sil | 时 捕 | 


拓宽 下 世 佣 发 机 构 CN) 还 书 和 等 信 任 证 书 6 用 户 法 任 找 刚 * 


厂 守明 设置 人) 
珊 个 用 户 % 书 存 寻 


图 10.46 打开 “证 书 路 径 验 证 设置 属性 ”对 话 杠 


03 选择 “存储 ”选项 卡 ， 选 中 “定义 这 些 策略 设置 ” 复 选 框 ， 根 据 需 要 选择 相关 设置 ， 单 击 “ 确 定 ”按钮 即 可 。 
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10.7.7 ”注册 代理 发 布 非 授权 证 书 


在 Windows Server 2008 中 ， 人 允许 用 户 强 制 限制 注册 代理 ， 通 过 该 功能 可 以 限制 指定 为 注 
册 代 理 的 用 户 所 拥有 的 代表 其 他 用 户 注册 智能 卡 证 书 的 权限 。 可 以 通过 以 下 两 种 方法 限制 注册 
代理 : 

@ 基于 证 书 模板 预定 义 列表 的 证 书 来 限制 注册 代理 ; 

四 进一步 限制 使 用 智能 卡 注册 的 组 。 


提示 “ 受 限 注册 代理 是 Windows Server 2008 企业 版 系统 中 的 新 增 功能 ， 在 基于 Windows 
\ 泥 Server2008 标准 版 的 CA 上 ， 受 限 注册 代理 不 可 用 。 


10.7.8 独立 管理 员 的 CA 问题 


在 Windows Server 2008 中 ， 默 认 赋 予 内 置 管理 员 组 执行 所 有 的 管理 任务 的 权限 。 如 果 使 
用 证 书 服务 的 计算 机 是 一 个 独立 计算 机 , 那么 管理 权限 将 分 配给 本 地 管理 组 。 如果 计 算 机 是 域 
成 员 ， 那 么 管理 权限 分 配给 企业 管理 员 和 林 中 创建 的 第 一 个 域 的 管理 组 。 

这 样 的 默认 权限 赋予 会 使 得 管理 员 组 中 的 所 有 成 员 都 可 以 执行 任意 的 管 操作 。 这 会 让 恶意 

理 员 能 够 修改 CA 设置 ， 吊 销 证 书 和 删除 审核 日 志 。 为 了 减 小 此 威胁 Windows Server 2008 
提供 了 四 种 PKI 管理 角色 : 


mm CA 管理 员 ， 负 责 帐户 管理 和 CA 证 书 的 密 钥 生成 ; 

四 证 书 管理 员 ， 负 责 证 书 的 管理 ， 包 括 发 布 和 吊销 证 书 及 解压 密 钥 等 ; 

四 审核 员 ， 负 责 维护 和 设置 CA 审核 日 志 ; 

日 备份 操作 员 ， 负 责 PKI 信息 的 备份 。 

在 Windows Server 2008 企业 版 和 Windows Server 2008 数据 中 心 版 中 允许 用 户 强制 
Common Criteria 角色 的 隔离 ， 一 个 用 户 只 能 是 CA 管理 员 、 证 书 管理 员 、 审 核 员 和 备份 操作 
员 中 的 一 个 角色 。 如 果 一 个 用 户 具 有 两 个 或 两 个 以 上 的 角色 , 该 用 户 就 会 被 锁定 , 将 无 法 进行 
证 书 管理 操作 。 

提示 本 地 管理 员 可 以 在 命令 提示 符 窗口 中 ， 使 用 “certutil-setreg ca\RoleSeparation 

4 Enabled1” 来 启用 Common Criteria 强制 角色 隔离 。 


小 结 


证 书 在 网 络 中 应 用 非常 广泛 ， 安 全 Web 连接 的 站 点 (使 用 HTTPS)、 邮 件 的 签名 和 加 密 、 
网 上 银行 在 线 交 易 等 都 需要 证 书 来 保护 信息 的 安全 。 通 过 部 署 Windows Server 2008 自 带 的 证 
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书 服务 功能 ， 可 以 实现 不 同类 型 数字 证 书 的 颁发 ， 即 可 实现 安全 连接 、 数 据 加 密 等 功能 。 
Windows Server 2008 支持 两 种 证 书 服务 器 ， 分 别 是 应 用 于 企业 内 部 的 企业 证 书 服务 器 和 应 用 
于 企业 或 Internet 的 独立 证 书 服务 器 。 企 业 CA 的 安装 建立 在 AD DS 的 基础 上 ， 而 独立 根 CA 
则 是 建立 在 独立 服务 器 的 基础 之 上 ， 与 AD DS 无 关 。 


习 题 


. 什么 是 电子 证 书 服务 ? 

. 企业 证 书 和 独立 根 证 书 有 什么 区 别 ? 
. 实现 证 书 续 订 有 哪 几 种 方式 ? 

. 解除 吊销 证 书 的 前 提 是 什么 ? 


实验 : 配置 和 应 用 证 书 服务 器 


一 


实验 目的 
掌握 证 书 服务 器 的 基本 应 用 。 
实验 内 容 


安装 企业 证 书 服务 器 , 并 用 两 种 方式 向 服务 器 申请 证 书 。 同时, 备份 证 书 服务 器 中 的 证 书 。 
掌握 客户 端 证 书 续 订 的 方法 。 


实验 步骤 


1. 安装 企业 根 证 书 服务 。 

2. 使 用 “证 书 申请 向 导 ” 申 请 证 书 。 
3. 使 用 Web 方式 申请 企业 证 书 。 

4. 备份 证 书 服务 器 上 的 证 书 。 

5. 用 相同 密码 续 订 证 书 。 
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系统 服务 安全 


Windows Server 2008 本 身 就 是 多 业务 服务 器 操作 系统 ， 默 认 已 经 集成 了 
多 种 常用 网 络 服务 和 系统 服务 ， 管 理 员 根据 需要 安装 或 者 启用 即 可 。 但是， 从 
系统 安全 角度 考虑 ,每 一 种 应 用 都 可 能 存在 安全 漏洞, 运行 的 服务 越 多 ， 系 统 
安全 性 就 越 低 。 因 此 ,对 常用 系统 服务 功能 及 特点 加 以 了 解 ， 并 且 能 够 通过 各 
种 安全 机 制 确保 服务 Windows 系统 服务 的 安全 ， 是 非常 有 必要 的 。 


加 服务 概述 

加 针对 服务 的 攻击 
加 普通 服务 攻击 媒介 
图 服务 强化 

量 服务 安全 
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11.1 服务 概述 


服务 为 用 户 帐 户 、 应 用 程序 以 及 Windows 本 身 ， 提 供 客户 端 和 服务 器 之 间 的 连接 机 制 。 
有 些 服 务 是 Windows 执行 功能 所 必须 的 ， 而 其 他 服务 只 是 在 执行 特定 任务 时 才 需 要 。 服 务 在 
会 话 0 中 启动 ， 其 中 包括 系统 完整 性 、 数 据 执行 保护 (Data Execution Prevention，DEP) 和 服 
务 安全 标识 符 (Service Security Identifier, SID )。 与 普通 应 用 程序 不 同 的 是 , 服务 有 特殊 的 SID， 
可 进行 细 粒 度 访 问 控制 。 


11.1.1 服务 登录 帐户 


每 个 服务 都 被 指派 了 一 个 服务 登录 帐户 , 该 帐户 决定 了 服务 运行 的 安全 上 下 文 。 内置 服务 
登录 帐户 包括 本 地 系统 , 本 地 服务 和 网 络 服务 ;而 管理 员 和 开发 者 可 随意 创建 或 定义 新 的 帐户 。 
服务 登录 帐户 的 权限 是 决定 某 一 特殊 服务 能 够 访问 本 地 或 网 络 资源 的 主要 方法 。 

1. 内 置 服务 登录 帐户 


如 表 11.1 所 示 列 出 了 内 置 服务 登录 帐户 以 及 与 本 地 和 远程 资源 的 相互 作用 。 
表 11.1 内 置 服务 登录 帐户 


登录 帐户 名 本 地 资源 网 络 资源 


Local System (经 常 指 的 是 | 计算 机 上 最 高 特权 的 帐户 ,可 以 实 | 连接 到 帐户 所 在 计算 机 的 网 络 
现 对 所 有 资源 的 完全 访问 资源 


Localsystem 或 是 System， 以 NT 

AUTHORITY\ 标 签 来 表示 ) 

Local Service (经 常 以 _NT | 具有 一 般 的 访问 权限 ,分 配给 已 经 | 作为 空 (匿名 资格 ) 会 话 帐户 连接 

AUTHORITY\ 标 签 来 表示 ) 过 验证 的 用 户 ， 其 有 稍 多 的 特权 ”| 到 网 络 资源 

Network Service (经 常用 NT | 与 Local Service 一 样 ,其 具有 一 般 | 与 Local System 帐户 一 样 , 作为 计 
的 访问 权限 ,分 配给 已 经 过 验证 的 | 算 机 连接 到 网 络 资源 。 远 程 令 牌 包 

用 户 ， 具 有 多 一 些 的 特权 括 每 个 人 和 已 经 过 验证 用 户 SID 


AUTHORITY\ 标 签 来 表示 ) 

服务 可 以 使 用 内 置 服务 登录 帐户 ， 也 可 使 用 任何 有 效 的 本 地 或 域 用 户 帐户 。 在 早期 
Windows 版 本 中 ， 所 有 Windows 提供 的 服务 都 在 本 地 系统 上 下 文中 运行 。 但 是 ， 这 个 策略 不 
符合 最 小 特权 原则 。 从 Windows XP 开始 ，Microsoft 创建 了 更 具 局 限 性 的 本 地 服务 和 网 络 服 
务 帐 户 ， 另 外 ， 开 发 和 配置 服务 遵循 最 小 特权 原则 。 

服务 登录 帐户 用 于 本 地 和 远程 资源 的 验证 服务 ,使 用 Kerberos 验证 〈 代 蔡 NTLM 或 LM) 
的 服务 也 需要 分 配给 服务 登录 帐户 一 个 或 多 个 服务 主要 名 称 (Service Principal Names，SPN )。 
SPN 用 于 识别 服务 ， 在 客户 端 应 用 程序 和 服务 之 间 进 行 相互 认证 。 
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2. 服务 控制 管理 器 


所 有 服务 登录 帐户 都 必须 分 配 一 个 登录 的 服务 权限 ， 这 样 才 可 以 通过 服务 控制 管理 器 
(Service Control Manager，SCM) 控制 该 服务 ， 并 且 在 无 需 外 部 安全 主体 登录 的 情况 下 ， 能 
够 登录 和 访问 资源 。 

SCM 作为 远程 过 程 调用 (Remote Procedure Call，RPC) 服务 器 ， 在 Windows 启动 过 程 中 
启动 ， 因 此 服务 管理 和 控制 程序 (Scexe、Services msc、WMIC， 等 等 ) 可 以 与 本 地 和 远程 服 
务 相互 通信 。SCM 会 读 取 位 于 注册 表 中 的 服务 值 ， 使 用 已 找到 的 凭据 在 本 地 计算 机 上 登录 服 
务 帐户 , 加 载 服 务 帐户 文件 , 并 以 暂停 状态 开始 服务 。 然 后 , 将 服务 与 服务 帐户 登录 令 牌 关联 ， 
从 而 完成 服务 的 启动 过 程 。 SCM 会 检查 所 有 注册 的 服务 依据 ， 并 在 需要 时 将 其 启动 。 

SCM 有 很 多 基于 服务 的 任务 ， 包 括 : 

维护 安装 服务 的 数据 库 ; 

在 系统 启动 时 或 用 户 要 求 时 启动 服务 ; 

四 列举 已 安装 的 服务 和 驱动 服务 ; 

@ 维护 运行 服务 和 驱动 服务 状态 信息 ; 

四 传递 控制 请 求 以 运行 服务 ; 

@ 锁定 和 解锁 服务 数据 库 。 


当 需 要 启动 服务 时 ，SCM 为 服务 登录 
帐户 创建 一 个 登录 会 话 , 加 载 相关 的 登录 帐 
户 用 户 信 息 ， 然 后 启动 服务 。 如 果 SCM 正 
常 工作 , 其 会 将 进程 令 牌 ( 带 有 服务 SID 和 
特权 的 令 牌 ) 附加 到 服务 进程 上 。 

每 种 服务 的 配置 信息 都 存储 在 
HKLM\System\CurrentControlSet\Services 的 
Windows 注册 表 中 。 如 图 11.1 所 示 是 Dfs 
服务 的 注册 表 项 。 11.1 服务 的 注册 表 项 


服务 和 驱动 都 位 于 服务 注册 表 项 中 ， 可 以 通过 Type 键 值 来 辨别 服务 。 例 如 ，0x10〔 作 为 
独立 程序 ， 运 行 于 自身 进程 中 的 服务 ) 或 0x20〈 运 行 于 共享 进程 中 的 服务 )。 驱 动 的 Type 键 
值 为 0x1 (核心 驱动 ) 或 0x2 (文件 系统 驱动 )。 除 此 之 外 ， 服 务 的 Start 键 值 通常 为 2 (自动 )、 
3 手动 ) 或 4 (禁用 )， 而 驱动 的 初始 值 为 0 (启动) 或 1 (系统 )。 

所 有 的 服务 登录 帐户 都 有 其 相关 的 密码 。Windows 分 配给 内 置 服务 帐户 的 密码 又 长 又 复 
杂 。 管理 员 不 能 轻易 列举 密码 ， 也 无 需 更 改 密码 。 通 常服 务 登录 帐户 密码 由 管理 员 设 置 ， 存 储 
在 受 保护 的 本 地 注册 表 ， 本 地 管理 员 能 够 通过 特殊 的 软件 列举 出 所 有 服务 帐户 密码 。 


11.1.2 服务 监听 端口 


多 数 服务 都 有 一 个 端点 监听 句柄 来 接收 和 发 送 服务 的 相关 信息 。 通 常情 况 下 该 句柄 使 用 
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TCP 或 UDP 端口 号 (如 终端 服务 在 TCP 端口 号 为 3389) 和 人 P 地 址 来 表示 ， 服 务 也 可 使 用 
RPC、 命 名 管道 或 男 一 种 有 效 的 监听 协议 (例如 net.msmq) 进行 监听 。 服 务 的 监听 TCP/IP 端 
口 可 使 用 Windows 进程 管理 器 或 在 命令 行 中 使 用 netstat -anob 列举 。 

如 果 服 务 使 用 TCP 端口 号 ,通常 情况 下 ， 将 会 默认 使 用 TCPv4 和 TCPv6 进行 监听 ， 如 
图 11.2 所 示 。 如 果 监 听 端 口 的 他 地址 为 0.0.0.0， 则 该 服务 将 响应 所 有 连接 端口 ， 包 括 本 地 主 
机 。 如 果 监 听 端 口 的 了 P 地 址 为 127.0.0.1， 则 该 服务 只 响应 与 本 地 主机 的 连接 尝试 。 如 果 服 务 
在 一 个 特殊 的 他 地 址 (例如 192.168.1.10) 上 监听 ， 服 务 将 只 响应 与 该 他 地址 的 连接 尝试 。 


liuxh. coolpen. net :httprrpc-epaap ~ liuxh. coolpen. ne 
1iuxh. coolpen. net:epaap liuxh. coolpen. ne” 
liuxh. coolpen. net:593 1iuxh coolpen. ne 
liuxh. coolpen. net:135 liuxh. coolpen. ne 
0.0.0.0:135 0.0.0.0:59909 


图 11.2 使 用 进程 管理 器 的 TCP/IP 标签 来 表示 监听 端口 号 


11.1.3 ”配置 服务 


服务 在 运行 时 ,不 一 定 有 图 形 用 户 界面 , 但 所 有 服务 的 信息 ， 都 可 以 通过 软件 或 服务 控制 
台 (Services.msc) 进行 配置 和 管理 ， 这 些 信息 存储 于 注册 表 中 供 SCM 读 取 。 用 户 可 以 双击 任 


何 服务 名 称 查看 其 详细 内 容 。 普 通用 户 可 以 看 到 服务 信 ”IEEITEYTITESSSSSSSS 
息 ， 但 只 有 帐户 操作 员 (Account Operators)、 域 管理 员 a 1 和 | 

(Domain Admins) 或 企业 管理 员 组 (Enterprise Admins ss vee 
groups) 的 成 员 能 够 进行 修改 。 mu 骨 ' 绰 本 


可 执行 文件 准 咯 径 0): 
C Wintowsvsysten32Vsvahost exe -k LocalServieellttwarlRestri 


1. “常规 ”选项 卡 0) [| 
“常规 ”选项 卡 是 打开 服务 属性 对 话 框 时 默认 显示 。 am 
的 选项 卡 ， 如 图 11.3 所 示 。“ 服 务 名 称 ” 是 Windows 中 22 | fw | 59 | | 
的 内 部 名 ， 即 服务 的 短 名 称 ， 服 务 管理 工具 通常 使 用 服 。 
务 名 来 操作 特定 的 服务 。 在 “服务 ”控制 台中 ,“ 显 示 名 


启 引 划 如 


称 ” 是 服务 在 列表 中 最 显著 的 标签 。 “说明” 则 是 开发 者 Ea ml 
创建 的 关于 该 服务 的 简短 描述 和 说 明 信 息 。 图 11.3 ”查看 和 配置 系统 服务 
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可 执行 路 径 显 示 了 可 执行 服务 的 全 部 路 径 ， 有 时 恶意 软件 会 使 用 和 Microsoft 服务 名 相似 
的 名 字 ， 在 解决 这 类 问题 时 ， 可 执行 领域 路 径 很 有 帮助 。 例 如 ， 恶 意 软件 名 为 svchostexe， 但 
却 位 于 \Windows\Fonts 文件 夹 ， 而 不 是 在 通常 的 \Windows\System32 文件 夹 中 。 

启动 模式 很 重要 ， 可 以 将 其 配置 为 以 下 4 个 值 之 一 : 

四 自动 ( 迁 迟 启动 ); 

昌 自动 ; 

和 a 手动 ; 


@ 禁用 。 


“自动 ” (延迟 启 动 ) 是 指 SCM 在 所 有 其 他 服务 都 设 为 自动 值 〈 包 括 其 依赖 的 服务 ) 时 
启动 服务 。 该 选项 是 在 Windows Vista 引入 的 。 根 据 注册 表 项 所 定义 的 顺序 ， 服 务 设置 为 
Windows 启动 过 程 中 自动 启动 。 如 果 标 注 为 “自动 ”的 服务 取决 于 其 他 服务 是 否 启动 ， 则 必 
须 先 启动 这 些 服务 除非 是 标记 为 “禁用 ”)。 设 置 为 “手动 ”的 服务 ， 则 不 会 在 Windows 启 
动 过 程 中 自动 启动 ， 除 非 其 他 服务 或 应 用 程序 要 求 其 启动 。 许 多 设置 为 “手动 ”的 服务 在 需要 
时 才 启 动 ， 不 需要 时 就 停止 。SCM 不 能 启动 设置 为 “禁止 ”的 服务 ， 如 果 不 改变 其 所 定义 的 
值 ， 也 不 能 手动 启动 。 

“状态 ”显示 服务 目前 的 操作 状态 。 操 作 状态 有 “已 启动 “已 停止 ”和 “和 暂停 ”等 3 
种 。“ 和 暂停 ”并 不 是 像 大 多 数 用 户 想象 的 那样 ， 其 并 没有 停止 服务 。 服 务 仍 在 内 存 中 活动 ， 并 
且 可 以 完成 当前 请 求 ， 但 不 能 执行 更 多 要 求 。 服 务 与 SCM 相互 作用 ， 并 在 需要 时 采取 适当 的 
行动 。 基 于 安全 性 和 可 靠 性 ， 许 多 默认 的 Windows 服务 不 能 暂停 。 启 动 参数 允许 服务 在 运行 


过 程 中 执行 更 多 的 参数 、 指 令 和 命令 。 D0 
党 只 到 录 | 必 夏 | 从 府 关系 | 
2. “登录 ”选项 卡 pe 
站 全 让 二 本 
“登录 ”选项 卡 〈 如 图 11.4 所 示 ) 决定 与 服务 有 关 的 5 三 RD FE 3 
服务 帐户 ， 以 及 桌面 交互 和 硬件 需求 。 -LY 


在 登录 框 中 , 用 户 可 以 设置 在 本 地 系统 上 下 文中 运行 的 | 有 HE 


服务 或 输入 服务 名 ,包括 本 地 服务 、 网 络 服务 以 及 其 他 有 效 。 入 ee 
服务 名 。 登 录 帐户 存在 于 本 地 SAM 数据 库 或 活动 目录 中 。 和 ™ 

如 果 服务 帐户 没有 以 服务 身份 登录 的 权限 , 在 设置 过 程 中 应 

授予 其 相应 的 权限 。 即 使 是 不 需要 输入 密码 的 本 地 系统 、 本 | aaasmamaass LEE ER | 
地 服务 或 网 络 服务 ， 在 这 里 也 必须 输入 服务 帐户 的 有 效 密 Ce ww | ew | 
码 。 密 码 会 存储 于 注册 表 中 ， 便 于 SCM 以 后 使 用 。 图 11.4 “登录 ”选项 卡 


注意 ”在 此 不 能 检验 在 登录 选项 卡 中 所 输入 的 密码 是 否 正确 。 只 要 相同 的 密码 输入 两 次 ， 
儿 印 使 瘦 双 不 正确 ，sCM 也 会 接受 此 密码 并 将 其 存储 ， 当 然 ， 服 务 是 无 法 启动 的 。 


选中 “人 允许 服务 与 桌面 交互 ” 复 选 框 时， 将 允许 服务 与 桌面 间 进 行 交 互 。 事 实 上 ， 某 些 服 
务 需 要 该 选项 才能 与 用 户 进行 沟通 。 后 台 打印 服务 和 交互 式 服务 检测 服务 都 需要 桌面 交互 。 在 
多 数 情况 下 此 选项 是 不 允许 的 ; 一 旦 允许 , 会 对 终端 用 户 、 桌 面 、 服 务 和 其 他 计算 机 造成 安全 
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威胁 。 例 如 ， 如 果 人 允许 服务 与 用 户 桌 面 交互 ， 终 端 用 户 或 运行 于 终端 用 户 安全 上 下 文 的 恶意 软 
件 就 可 以 很 容易 的 操纵 该 服务 。 服 务 也 很 容易 影响 同一 计算 机 上 的 其 他 用 户 和 桌面 。 限 制服 务 
与 用 户 桌面 之 间 的 交互 是 未 来 的 发 展 趋势 ， 从 这 一 点 来 看 ， 很 多 旧 的 服务 都 是 不 合格 的 。 

用 户 也 可 以 在 “硬件 配置 文件 ”中 允许 或 禁止 某 项 服务 。 此 选项 通常 用 于 拥有 扩展 坞 的 笔记 
本 电脑 。 在 特殊 的 硬件 配置 文件 中 ， 若 不 需要 某 项 服务 ， 就 要 将 其 禁止 ， 以 防范 恶意 入 侵 者 的 攻 
击 。 当 然 ， 这 样 做 也 可 以 提高 系统 性 能 和 节约 能 源 ， 笔 者 沉 
得 这 才 是 微软 的 主要 目的 。 mr Clieat 的 民 性 本 地 计算 机 居 


间 | 玫 天 | 关系 | 


3. “恢复 ”选项 卡 | 
第 一 六 类 欢 (): | 区 一 个 程序 了 
后 [STR 
“恢复 ”选项 卡 (如 图 11.5 所 示 ) 定义 了 当 某 一 服务 ilM FT 


天 
在 此 之 和 和 新 启动 服务 四 癌 分 名 后 
厂 启用 发 生 错 呈 便 全 目的 操作 。 “重新 启动 计 莽 机 进项 最) 


失败 时 ， 应 当 采 取 何 种 反应 。 可 以 选择 以 下 几 种 方法 : 


不 操作 ; pa er 
重新 启动 服务 ; ep [rr 
[ 运行 一 个 程序 ; 厂 持 败 计 对 附加 到 命 行 扩 尾 V fsil-S1) 中 

四 重新 启动 计算 机 。 CD _m | mo 
既 可 以 定义 “第 一 次 失败 ”、“ 第 二 次 失败 ”和 “后 续 a 


失败 ”的 反应 ， 也 可 以 设 定 在 一 段 日 期 之 内 失败 计数 器 被 重 置 了 多 少 次 。 例 如 ， 如 果 “ 重 置 失 
败 计数 ”设置 为 1 天 〈 通 常 值 )，24 小 时 后 计数 器 会 重新 设置 为 0， 遇 到 服务 失败 就 会 执行 第 
一 次 失败 的 反应 。 如 果 错 误 计数 器 设置 为 0， 说 明 如 果 不 重启 计算 机 ， 计 数 器 就 不 会 重 置 。 如 
果 还 原 行为 设置 为 重启 服务 ， 可 以 在 重启 服务 前 指示 SCM 要 等 多 久 再 重启 。 

如 果 选 择 “ 运 行 一 个 程序 ”恢复 选项 ， 该 程序 或 其 他 脚本 可 以 在 服务 失败 后 运行 。 图 11.6 
为 使 用 Msg.exe 程序 向 预定 清单 上 的 用 户 发 送 “WSST 服务 关闭 ”信息 。 使 用 此 功能 ， 会 弹 
出 帮助 窗口 来 调查 失败 服务 或 运行 一 个 新 的 调试 程序 。 另 外 一 个 作用 是 在 重启 服务 后 , 使 用 网 
络 监测 功能 截获 该 服务 发 送 和 接收 的 网 络 数据 包 , 为 故障 调试 提供 帮助 信息 。 截获 的 信息 对 识 
别 恶意 连接 十 分 有 用 。 需 要 使 用 驱动 器 名 称 和 完整 路 径 来 定位 可 执行 文件 ， 不 支持 UNC 形式 
的 路 径 〔 例 如 \\ 服 务 器 \ 共 享 名 )。 


注意 ”在 Windows XP Professional SP2 之 前 ， 管 理 员 可 以 使 用 NET SEND 来 发 送信 息 。 
但 由 于 NET SEND 是 基于 不 安全 的 Messenger 服务 的 ， 因 此 在 Windows Vista 和 
Windows Server 2008 中 使 用 Msg.exe 代替 NET SEND。 


微软 考虑 到 由 于 服务 重启 或 失败 会 导 臻 计算 机 重启 ， 所 以 Bona 


在 重启 前 向 用 户 发 送信 息 以 示警 告 。 单 击 “ 重 新 启动 计算 机 选 。 5 gigs, wtp temo 
项 ”按钮 ， 显 示 如 图 11.6 所 示 “ 重 新 启动 计算 机 选项 ”对 话 框 。 ”的 se 
不 过 ， 自 动 “ 重 新 启动 服务 ”的 还 原 选 项 会 给 入 侵 者 提供 攻 
击 计算 机 的 机 会 .例如 , 地 址 空间 布局 随机 化 (Address Space Layout 
Randomization, ASLR) 在 每 次 启动 计算 机 时 , 随机 将 核心 Windows Ee 
API 置 于 256 个 不 同 的 存储 地 址 。 许多 缓冲 溢出 区 要 求 只 有 猜 到 正 ”图 11.6 重新 启动 计算 机 选项 
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确 的 API 地 址 时 才能 得 进 ， 否 则 攻击 就 会 失败 。 如 果菜 服务 在 失败 后 自动 重启 ， 这 就 给 入 侵 者 提供 
了 一 个 很 好 的 机 会 ， 使 其 在 经 过 数 次 尝试 后 得 知 正确 的 存储 地 址 。 


4. “依存 关系 ”选项 卡 
“依存 关系 ”选项 卡 (如 图 11.7 所 示 )， 显 示 了 某 服 


四 i 
务 运行 所 依存 的 所 有 服务 。 在 服务 控制 台中 还 有 很 多 不 。 sewnasio 


甸 图 wet | TnI 支持 
Netwark Sta 


田 Wetwork Stors Interfaee Survice 


能 看 到 或 进行 设置 的 服务 值 ( 在 本 章 后 面 将 会 讲 到 ), 其 
中 包括 许可 、 权 限 以 及 服务 是 否 可 以 停止 或 暂停 。 除 了 
服务 控制 台 之 外 ， 还 可 以 用 其 他 方法 来 设置 服务 ， 包 括 人 
组 策略 、scexe 和 Windows 管理 规范 ( Windows ED 
Management Instrumentation，WMI) 以 及 其 他 一 些 方法 。 
服务 失败 可 能 是 操作 或 者 安全 因素 导致 的 ， 尽 管 其 
通常 不 是 恶意 行为 ， 但 很 多 恶意 软件 《MS-Blaster 蠕虫、 me ee ee 
DDoS 等 ) 也 会 导致 某 些 无 法 解释 的 服务 问题 。 图 11.7 “依存 关系 ”选项 卡 


11.2 ”针对 服务 的 攻击 


如 今 ， 网 络 入 侵 方 式 可 谓 花 样 繁多 ， 其 实 很 多 服务 是 针对 系统 服务 或 网 络 服务 的 。 由 于 
Windows 系统 默认 自动 启动 了 许多 服务 ， 而 每 一 种 服务 就 像 是 一 扇 开 启 的 大 门 ， 在 允许 用 户 
正常 使 用 的 同时 , 随时 可 能 成 为 入 侵 者 的 进攻 渠道 。 为 此 , 管理 员 应 对 常见 的 基于 系统 服务 的 
攻击 和 入 侵 有 所 了 解 ， 以 便 及 时 做 好 防护 工作 。 


11.2.1 Blaster 蠕虫 


Blaster 蠕虫 是 2003 年 最 为 臭名 昭著 的 蠕虫 病毒 。 在 运行 Windows 2000 和 Windows XP 
的 计算 机 上 , Blaster 攻击 Windows DCOM RPC 服务 中 已 知 的 缓冲 区 溢出 漏洞 。 虽 然 漏洞 已 知 ， 
也 可 以 进行 Microsoft 安全 更 新 ， 然 而 大 部 分 的 计算 机 并 没有 更 新 。 大 部 分 用 户 错误 地 认为 ， 
正确 设置 的 外 围 防 火 墙 能 够 有 效 地 防止 Blaster 进入 网 络 。 

Blaster 与 TCP 端口 135 的 DCOM RPC 服务 连接 ， 对 缓冲 溢出 区 进行 攻击 。 一 旦 系统 出 
现 漏洞 ，Blaster 就 可 以 对 系统 进行 本 地 访问 ， 并 在 TCP 端口 4444 启动 一 个 新 的 界面 ， 使 
UDP 端口 67 上 的 TFTP 下 载 其 余 的 病毒 。 该 病毒 会 将 自身 重建 在 名 为 msblasterexe 的 文件 中 ， 
这 是 一 个 自动 运行 的 注册 表 位 置 。 之 后 病毒 会 重启 计算 机 ， 开 始 用 该 主机 去 感染 其 他 计算 机 。 

Blaster 刚 开 始 出 现时 ， 很 多 组 织 并 没有 重视 该 病毒 ， 由 于 人 们 认为 在 本 地 计算 机 上 正确 
设置 的 外 围 防火 墙 (不 允许 TCP 端口 135 的 入 站 访问 ) 能 够 有 效 的 抵制 Blaster 感染 。 但 是 ， 
受 感染 的 计算 机 通过 VPN 连接 到 网 络 ， 导 致 凡是 没有 安全 更 新 的 计算 机 都 被 感染 了 。 只 要 由 
一 台 感 染病 毒 的 计算 机 ， 网 络 中 其 他 易 受 攻击 的 计算 机 都 难以 幸免 。Blaster 可 以 在 短 时 间 内 
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感染 成 千 上 万 的 计算 机 。 


Nachi 是 一 种 与 Blaster 非常 相似 的 蠕虫 病毒 。 该 病毒 是 在 计算 机 进行 错误 更 新 之 后 数 天 内 
出 现 的 ， 以 Blaster 同样 的 方式 感染 易 受 攻击 的 计算 机 ,感染 后 将 自动 使 计算 机 安装 安全 更 新 ， 
防止 计算 机 被 Blaster 感染 。 这 是 一 个 典型 的 示例 ， 说 明 不 提示 用 户 而 自行 修补 计算 机 的 恶意 
软件 是 多 么 的 危险 。Nachi 指示 网 络 中 所 有 易 受 攻击 的 计算 机 同时 下 载 安全 更 新 ， 占 据 了 庞大 
的 网 络 资源 。 当 安装 了 更 新 之 后 ，Nachi 就 置身 事 外 ， 不 再 对 计算 机 进行 保护 。Nachi 会 带 来 
漫长 的 下 载 时 间 和 更 多 的 安全 问题 ， 因 此 ， 也 就 比 Blaster 更 加 危险 。 

为 了 防止 Blaster 攻击 ， 微 软 对 其 操作 系统 做 了 很 大 的 改变 ， 尤 其 是 在 计算 机 自动 安全 更 
新 方面 。 鉴 于 Windows 用 户 一 直 以 来 都 使 用 Windows Update 和 其 他 更 新 客户 端 ， 微 软 推出 了 
新 的 自动 更 新 服务 , 包括 升级 版 的 自动 更 新 , 并 为 没有 使 用 其 他 补丁 管理 策略 的 企业 提供 免费 
的 软件 更 新 服务 和 Windows 服务 器 更 新 服务 。 系 统 安装 操作 更 加 简单 易 行 ， 并 且 在 安装 更 新 
前 ， 网 络 访问 是 受 限 的 ， 从 而 确保 计算 机 的 攻击 面 最 小 化 。 


11.2.2 ”普通 服务 攻击 媒介 


每 个 安装 和 运行 的 服务 都 是 入 侵 者 的 一 个 攻击 媒介 , 对 于 常规 系统 应 用 而 言 , 常见 的 攻击 
威胁 如 下 。 


1. 缓冲 区 溢出 


所 有 服务 都 提供 远程 访问 的 监听 通道 , 当 服务 包含 未 经 检测 的 输入 路 径 ， 允许 发 送 超过 缓 
冲 区 本 身 的 容量 的 信息 时 ,就 会 产生 缓冲 区 溢出 。 易 受 攻击 的 服务 可 能 会 导致 服务 失败 , 或 者 
允许 入 侵 者 获取 系统 访问 权限 , 危害 服务 登录 帐户 的 安全 上 下 文 。 如 果 此 帐户 是 本 地 系统 或 管 
理 员 帐 户 ， 入 侵 者 可 以 执行 任意 的 操作 ， 包 括 控制 系统 、 下 载 资源 、 安 装 恶意 软件 ， 以 及 加 载 
远程 控制 程序 等 。 


2. 拒绝 服务 攻击 


带 有 bug 的 服务 无 法 执行 正常 操作 ,可 以 是 临时 的 , 也 可 以 是 永久 的 (除非 服务 重启 或 是 
计算 机 重启 )。 有 时 它们 会 使 用 复杂 的 缓冲 区 溢出 攻击 ， 有 时 则 使 用 单独 的 网 络 数据 包 。 例如 ， 
旧版 本 的 Microsoft SQL Server Resolution Service 对 0x04 的 ASCII 码 极为 敏感 ,又 如 , Windows 
XP SP2 的 安全 漏洞 Land 攻击 就 是 基于 单独 的 恶意 网 络 数据 包 。 DoS 攻击 会 阻止 合法 的 服务 ， 
并 导致 进程 骨 江 、 系 统 资源 浪费 以 及 计算 机 重启 等 问题 。 

3. 远程 登录 访问 

许多 服务 (如 FITP、IIS、 远 程 桌面 和 终端 服务 等 ) 提供 额外 登录 点 ， 入 侵 者 能 够 在 这 些 登 录 
点 尝试 登录 名 和 密码 ， 试 图 获取 访问 权 。 管 理 员 帐 户 默认 不 使 用 通常 帐户 的 锁定 设置 。 入 侵 者 可 
以 使 用 登录 服务 反复 尝试 管理 员 密码 ， 既 可 以 手动 尝试 ， 也 可 使 用 自动 密码 破解 工具 。 如 果 没 有 
对 安全 日 志 进 行 监视 或 及 时 查看 这 些 安全 日 志 ， 那 么 ， 入 侵 者 的 所 作 所 为 就 很 难 被 发 现 。 
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4. 窃听 


监听 服务 之 间 发 送 接收 数据 , 入 侵 者 可 以 截获 信息 来 还 原 验证 信息 。 许 多 服务 (如 SNMP、 
Telnet、FTP 和 了 POP 等 ) 使 用 明文 登录 名 和 密码 ， 即 使 那些 不 使 用 明文 数据 的 服务 也 有 可 能 受 
到 攻击 。 例 如 ，RDP 在 发 行 后 的 一 段 时间 容 易 受 中 间 人 《Man-in-the-Middle，MitM) 攻击 ， 
即使 RDP 使 用 加 密 ， 新 会 话 也 会 被 截获 而 传输 给 远程 入 侵 者 。 由 于 在 版 本 6.0 之 前 ，RDP 不 
对 端点 客户 端 进行 验证 , 就 使 得 MitM 入 侵 者 有 可 能 深入 到 通信 中 , 每 次 获取 登录 密码 的 一 个 
字符 。 许 多 非法 工具 使 得 RDP MitM 攻击 易如反掌 只 要 入 侵 者 能 够 进入 通信 路 径 就 可 以 。 久 
听 也 可 以 用 于 捕获 登录 凭证 之 外 的 机 密 信息 和 个 人 信息 。 

5. 密码 港 圳 

使 用 从 服务 登录 帐户 中 列举 而 得 出 的 密码 , 入 侵 者 能 够 提升 其 在 网 络 中 的 特权 。 如果 某 入 
侵 者 具有 对 某 一 系统 的 访问 权限 〈 如 管理 员 或 本 地 系统 )， 接 下 来 就 会 使 用 各 种 方法 和 工具 在 
明文 中 恢复 登录 帐户 凭据 。 如 果 将 该 凭据 应 用 于 其 他 计算 机 上 ， 或 应 用 于 整个 Windows 域 中 ， 
就 会 引起 其 他 资源 的 泄露 。 

6. 配置 错误 

即使 一 个 服务 编码 完好 而 且 不 包含 已 知 弱点 ， 由 于 用 户 和 管理 员 经 常会 错误 配置 服务 , 也 
会 使 这 种 服务 成 为 入 侵 者 的 工具 。 例 如 ， 用 户 安装 IIS 或 FTP 服务 ， 却 使 用 了 简单 的 密码 。 
再 如 ， 某 用 户 安装 了 点 对 点 (peer-to-peer) 文件 共享 程序 ， 目 的 是 为 了 分 享 文件 夹 的 子 目 录 ， 
但 结果 却 分 享 了 其 他 所 有 的 硬件 驱动 器 。 这 些 情 况 都 会 导致 许多 机 密 文件 泄露 在 网 络 上 。 

7. 信息 泄露 

许多 服务 的 系统 信息 能 够 被 恶意 入 侵 者 所 利用 。 信息 与 服务 本 身 相关 , 但 对 服务 的 正常 运 
行 却 非常 重要 ， 有 时 恶意 连接 也 会 导致 信息 泄露 。 

8. 社会 工程 攻击 

与 终端 用 户 通信 的 服务 为 恶意 软件 提供 了 更 多 途径 , 如 点 对 点 文件 共享 服务 。 恶 意 软件 能 
够 与 终端 用 户 假装 聊天 , 然后 引诱 用 户 接收 一 个 新 的 文件 传输 。 表面 上 该 文件 传输 合法 的 内 容 
和 用 途 , 然而 却 包含 着 木马 恶意 软件 。 许多 反 恶 意 软件 的 程序 并 不 会 对 其 所 用 服务 的 内 容 进行 
扫描 ， 这 样 即便 是 在 受 保护 的 计算 机 上 ， 该 病毒 也 能 得 以 传播 。 

服务 是 许多 恶意 攻击 的 目标 , 每 增加 一 种 运行 的 服务 , 也 就 相应 的 扩大 了 计算 机 的 受 攻击 面 。 


11.3 ”服务 强化 


在 Blaster 病毒 之 后 ， 微 软 建立 了 Windows 服务 的 风险 模型 ， 包 括 更 改 默认 权限 和 特权 、 
创建 新 的 服务 保护 措施 ， 因 此 ， 在 Windows Vista 之 后 ， 服 务 安全 性 比 以 前 的 操作 系统 有 了 很 
大 的 改进 。 其 中 包括 : 
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里 服务 应 用 最 小 特权 原则 ; 
四 分 解 服务 ， 更 多 的 服务 运行 在 本 地 服务 和 网 络 服务 登录 上 下 文中 ; 


里 为 服务 分 配 安全 标识 符 (SID)， 


里 限制 特殊 服务 的 SID; 


里 在 域 中 限制 服务 ; 
里 所 有 服务 均 需 会 


话 0 隔离 ; 


至 所 有 服务 都 具有 系统 强制 完整 性 级 别 ; 
里 启用 所 有 服务 的 数据 运行 阻止 策略 ; 


日 增强 SCM 状态 报告 。 
在 接 下 来 的 部 分 会 详细 阐述 以 上 这 些 改 进 的 内 


11.3.1 最 小 特权 


l 
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以 便 启 用 服务 访问 控制 ; 


怠 


Windows 特权 决定 安全 主体 所 能 执行 的 操作 。 换 名 话说， 特权 并 不 是 和 特定 安全 对 象 关 
联 的 。Windows Server 2008 包含 35 种 不 同 的 特权 (如 表 11.2 所 示 )， 可 以 指派 给 不 同 的 安全 
主体 。 在 “计算 机 设置 \Windows 设置 \ 安 全 设置 \ 本 地 策略 \ 用 户 权 利 ” 指 派 中 的 组 策略 ， 可 以 
看 到 各 种 特权 ， 但 其 中 有 9 种 权限 并 不 是 特权 。 


表 11.2 默认 服务 登录 帐户 特权 


特权 
AssignPrimaryToken 
SeAudit 
Sebackup 
SeChangeNotify 


本 地 系统 本 地 服务 


网 络 服务 管理 员 默认 用 户 


SeCreateGlobal 
SeCreatePagefile 


SeCreatePermanent 


SeCreateSymbolicLink 
SeCreateToken 


SeDebug 


四 | | 四 | 中 | 上 | 5 


SeEnableDelegation 
SeImpersonate 
SeIncreaseBasePriority 


IncreaseQuotaPrivilege 


SeIncreaseWorkingSet 
SeLoadDriver 


SeLockMemory 


HolImlolm|m|' 


SeMachineAccount 


SeManageVolume 


SeProfileSingleProcess 
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( 续 表 ) 


特权 本 地 系统 。 | ”本 地 服务 | ”网 络 服务 默认 用 户 
SeRelabel - - 


SeRemoteShutdown 
SeRestore D 
SeSecurity D 
SeShutdown D 
SeSyncAgent 


SeSystemEnvironment 
SeSystemProfile 


SeTakeOwnership 

SeTcb 

SeTimeZone 
SeTrustedCredManAccess 
SeUndock D 
SeUnsolicitedInput 


E= 默 认 启用 ”DD= 默 认 禁 用 ， 但 是 可 以 启用 -= 特权 不 能 启用 


本 地 系统 帐户 有 最 多 的 默认 特权 ， 接 下 来 是 管理 员 组 的 成 员 ， 本 地 服务 ， 网 络 服务 ， 最 后 是 
没有 提升 特权 的 普通 用 户 。 表 11.2 中 包含 了 所 有 内 置 服务 帐户 ， 管 理 员 和 普通 用 户 的 默认 特权 。 
如 果 服 务 进程 令 牌 具有 特权 , 但 是 为 禁用 的 , 则 其 仍然 可 以 启用 (因为 服务 可 以 启用 禁用 
的 特权 )。 以 标准 用 户 运 行 的 进程 和 在 UAC 中 以 管理 员 运行 的 进程 ， 仅 有 5 种 默认 特权 。 提 
升 的 进程 则 具有 更 多 的 特权 。 内 置 管理 员 帐 户 和 服务 登录 帐户 不 属于 UAC。 
Vista 中 用 户 具 有 SeTimeZone 特权 ， pt 中 也 可 以 更 改 采 统 时 区 。 在 
Windows Server 2008 中 用 户 具 有 创建 全 局 对 象 特权 ， 共 享 对 象 需 要 该 特权 ， 如 终 
端 服务 以 及 其 他 共享 服务 等 。 


Microsoft 使 用 威胁 模型 分 析 法 分 析 所 有 的 Windows 服务 。 如 果 某 服务 不 要 求 本 地 系统 访 
问 权 限 ， 则 将 该 服务 分 配 为 本 地 服务 或 网 络 服务 访问 。 使 用 最 小 特权 服务 登录 帐户 ， 降 低 了 由 
于 服务 恶意 操作 而 导致 的 威胁 。 尽管 只 有 一 半 的 服务 在 本 地 系统 环境 下 运行 , 但 也 远 远 超过 了 
Windows Server 2003 中 的 数目 。 

为 了 提供 更 好 的 保护 措施 , 在 Windows Vista 和 Windows Server 2008 中 , 在 服务 启动 过 程 
中 可 以 移 除 任何 不 必要 的 默认 特权 。 微 软 的 开发 者 们 对 所 有 默认 的 Windows 服务 进行 了 重新 
设计 ， 移 除了 所 有 不 必要 的 特权 。 于 是 ， 许 多 使 用 较 低 权限 运行 的 服务 〈 例 如 DHCP 客户 端 ) 
被 分 配 到 其 各 自 的 服务 登录 帐户 下 。 微 软 提供 了 许多 有 用 的 工具 ， 鼓 励 开 发 者 分 析 服 务 ， 移 除 
不 必要 的 特权 ， 防 止 潜在 的 恶意 攻击 。 在 安装 服务 过 程 中 ， 服 务 会 安装 一 个 名 为 
RequiredPrivileges 的 注册 表 项 ， 其 中 包含 服务 正常 工作 所 必需 的 各 种 特权 。 

如 果 一 个 服务 进程 (如 Svchostexe) 主 控 多 个 服务 ，SCM 会 计算 所 有 服务 所 需 的 最 小 特权 
的 集合 ， 然 后 移 除 不 必要 的 特权 。 当 然 ， 如 果 其 中 一 个 服务 需要 服务 登录 帐户 中 所 有 的 特权 ， 


D 
E 
SeSystemtime D 
D 
E 
E 
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则 无 需 移 除 特权 ， 而 且 这 些 特权 可 以 被 所 有 服务 共享 。 用 户 可 以 使 用 Sc.exe， 其 参数 为 qprivs， 
用 于 查看 一 个 服务 所 需 的 特权 不 是 实际 授予 进程 的 特权 )， 语 法 为 : 


sc.exe<server>qprivs[servicename] 


例如 , 在 命令 提示 符 窗口 中 , 输入 如 下 命令 : 


sc.qprivs w32time 


车 执行 , 显示 如 图 11.8 所 示 结 果 , 即 可 
查看 w32time 服务 的 特权 设置 。 

用 户 也 可 以 使 用 privs 命令 行 参数 ， 通 过 
sc.exe 来 查看 特权 。 语 法 为 : 


sc.<server> privs [Privileges] 


[Privileges] 包 含 了 以 /分 隔 的 特权 清单 ， 例 如 ， 要 制定 备份 和 还 原 特权 ， 可 以 设置 其 为 
SeBackupPrivilege/SeRestorePrivilege。 服 务 开发 者 和 系统 管理 员 可 以 利用 SCM 来 减 小 计算 机 
的 受 攻击 面 。 但 是 ， 在 更 改 服务 特权 前 ， 必 须 经 过 合理 的 分 析 和 测试 。 

用 户 还 可 以 使 用 进程 管理 器 (如 图 11.9 所 示 ) 查看 服务 进程 特权 〈 以 及 权限 和 SID)。 只 
要 是 文本 框 中 列 出 的 〈 已 启用 或 已 禁用 )， 都 是 服务 可 用 的 特权 。 并 没有 永久 的 禁用 特权 ， 不 
允许 的 特权 是 不 会 列 出 来 的 。 


ws [版本 5.6 
et ie a ration。 保 留 所 有 权利 。 


ssers Adninistrator)sc qprivs v32tine 
[sc] QueryserviceConfig2 成 功 


ICE_NRME: v32tine 
PRIUILEGES : SehuditPriuilege 

: SeChangeNotifyPrivilege 

: SeG 人 


Ee 


: SelnporsonatePrivilege 
: SesyetenT inoPrivi lee 


:Wsers \Adninistrator), 


器 


图 11.8 使 用 sc.exe 查看 服务 特权 


图 11.9 查看 服务 进程 特权 


11.3.2 服务 SID 


从 Windows Vista 和 Windows Server 2008 开始 ， 每 个 服务 都 具有 一 个 特殊 的 SID， 这 个 
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SID 是 基于 服务 名 称 的 。 基 于 服务 的 SID 允许 直接 为 服务 指派 安全 对 象 的 权限 , 同样 也 可 以 用 
于 控制 服务 ， 如 打开 Windows 防火 墙 和 IPSec 的 端口 。 


1. 查看 服务 SID 
管理 员 可 以 使 用 sc.exe 查看 任何 服务 的 SID， 包 括 并 未 使 用 的 服务 ， 其 语法 格式 如 下 : 


scshowsid [servicename] 


服务 的 SID 是 通过 其 Unicode 名 称 计算 得 出 的 。 使 用 SHA-1 加 密 算法 ， 然 后 把 哈 希 运算 
的 结果 加 到 S-1-5-80- 之 后 。 例 如 ， 服 务 W32Time 的 SID 如 下 : 
S-1-5-80-4267341169-2882910712-659946508-2704364837-2204554466 


该 SID 在 所 有 Windows Vista 和 Windows Server 2008 的 操作 系统 中 都 是 一 样 的 。 

若 欲 赋予 服务 一 个 SID, 必须 在 服务 启动 之 前 赋予 , 并 且 在 服务 运行 期 间 不 能 更 改 其 SID。 
这 个 SID 会 附加 在 服务 的 进程 令 牌 上 ， 如 果 某 共享 服务 进程 (例如 Svchostexe) 有 多 个 基于 
服务 的 SID， 则 所 有 的 SID 会 附加 在 服务 的 进程 令 牌 上 ， 供 所 有 共享 服务 进程 中 的 服务 使 用 。 
如 果 某 SID 未 被 启用 ， 则 服务 登录 帐户 的 SID 会 附加 在 服务 进程 令 牌 上 。 


2. 为 服务 定义 访问 控制 条 目 


如 果 某 服务 令 牌 有 一 个 服务 指定 的 SID， 就 可 以 定义 其 许可 程序 ， 也 可 使 用 icacls.exe 或 其 他 
工具 。 如 图 11.10 所 示 是 一 个 在 ACL 编辑 器 中 设置 权限 时 ， 如 何 查找 服务 名 的 例子 。 必 须 在 服务 
短 名 称 前 如 上 NT SERVICE\ 标 签 。 如 图 11.11 所 示 是 在 ACL 编辑 器 中 的 结果 。 虽 然 必须 包含 NT 
服务 标签 来 帮助 Windows 查找 正确 的 安全 主体 , 但 是 使 用 检查 名 称 按钮 ，Windows 会 将 输入 的 标 
签 转换 为 服务 的 短 名 称 〈 例 如 W32Time)。 不 过 ， 用 户 无 法 使 用 短 名 称 来 定义 权限 。 


至 | 


双 象 名 称 :。 D \test txt 
组 或 用 户 名 加 


选择 内 置 安全 主体 


Ps 对 全 类 型 0 [| ws 
和 | seTine 的 权限 加 ) 介 放 拒 钨 
Fr ao 人 8 8 
CT et 8 
INT SERVICEW32TME 本 | 5 入 口 口 划 
Ee 
Ey | mw | snw | 
间 和 0 WA 大 用 机 图 14.11 为 W32Time 服务 授予 权 限 


用 户 可 以 使 用 NT SERVICE\servicename 或 服务 的 SID 来 定义 访问 控制 权限 ， 如 图 11.12 
所 示 。 
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个 文件 时 失败 
t 6-1-5-88-4267341169-2882910712-659946588-2794364 


由 四 


图 11.12 使 用 Icacls.exe 设置 服务 权限 
设置 基于 服务 的 SID 其 实 非常 重要 。 在 Windows Vista 之 前 ,服务 的 权限 与 服务 登录 帐户 
的 权限 是 一 样 的 ， 如 果 服 务 登录 帐户 (例如 本 地 服务 ) 需要 具有 额外 的 权限 ， 那 么 ， 所 有 服务 
也 就 具有 同样 的 权限 了 。 现 在 ， 服务 可 以 允许 或 是 禁止 权限 。 由 于 服务 具有 SID， 对 象 访问 审 
查 就 会 很 容易 发 现 服务 运行 过 程 中 的 各 种 异常 。 另外， 也 可 以 控制 服务 的 网 络 流量 。 例如， 防 
火 墙 默认 启用 出 站 筛选 ， 只 有 特定 端口 允许 服务 进行 流量 交换 。 
可 以 使 用 sc.exe 查看 与 服务 相关 的 权限 ， 其 语法 格式 如 下 : 


scshowsid [service name] <showrights> 


输出 结果 使 用 SDDL 转换 ， 增 加 其 他 参数 可 以 更 加 方便 的 理解 访问 控制 项 。 使 用 通常 的 
Windows 图 形 用 户 界面 和 进程 管理 器 ， 也 可 以 查看 权限 设置 。 


3. 写 入 受 限 SID 
服务 有 3 种 合法 的 SID 类 型 : 


里 无 (None) ; 
非 受 限 (Unrestricted) ; 
四 受 限 (Restricted) 。 


None 类 型 表明 ， 该 服务 没有 基于 服务 的 SID。 非 受 限 SID 指 服务 有 SID， 且 该 SID 可 以 
用 于 访问 控制 。 受 限 SID 则 表明 服务 具有 额外 的 访问 控制 。 

当 服 务 被 标记 为 受 限 时 , 其 自身 的 SID 会 和 下 面 的 SID 一 起 , 附加 到 进程 令 牌 的 受 限 SID 
列表 中 : 

m Everyone SID (S-1-1-0); 

登录 SID (S-1-5-5-0-64163); 

到 写 入 受 限 SID (S-1-5-33)。 


当 某 个 服务 尝试 对 资源 进行 写 操作 时 ， 如 果 其 访问 令 牌 含有 写 入 受 限 SID, 访问 就 会 被 拒绝 。 
大 多 数 安全 对 象 不 允许 SID 具有 写 权 限 ， 所 以 系统 默认 是 禁止 的 。 其 目的 在 于 ， 即 使 恶意 软件 控 
制 了 一 个 写 入 受 限 的 服务 ， 那 么 ， 所 造成 的 危害 也 会 局 限 在 极 小 的 范围 之 内 。 

需要 注意 的 是 , 只 有 一 部 分 服务 是 被 标记 为 写 限制 的 。 可 以 通过 sc.exe 来 查看 某 个 服务 的 
SID 类 型 ， 如 图 11.13 所 示 。 

写 入 受 限 SID 常常 是 和 防火 墙 一 起 使 用 。 防 火 墙 由 于 自身 设计 的 原因 ， 很 容易 遭受 攻击 。 
Windows 设置 了 4 个 与 之 相配 套 的 服务 ， 即 Windows 防火 墙 (Windows Firewall，MpsSvc)、 基 本 
筛选 引擎 (Base Filtering Engine，Bfe)、 诊 断 策略 服务 (Diagnostic Policy Service，Dps) 和 性 能 日 
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志 与 告警 (Perfonmance Logs and Alerts，Pla)， 这 都 是 标记 为 写 限 制 的 服务 ， 包 含 写 限制 SID， 如 
图 11.14 所 示 。 


FC: Vse gsidtype mpssu 
[SC] QueryServiceCo! fg? 成 功 


ERVICE_NAME: 
ERWICE-SID TyPE:™ RESTRICTED 


EE sysc gsidtype w32tine 


C1 QueryServiceConfig2 成 功 


ERVICE_NAME: w32tine 
ERVICE_SID_TYPE: © UNRESTRICTED 


ps 


gd 
图 11.13 使 用 Sc.exe 查看 服务 的 SID 类 型 图 11.14 ”进程 管理 器 显示 出 某 服务 的 写 入 受 限 SID 

在 命令 提示 符 窗 口中 ， 管 理 员 可 以 使 用 如 下 命令 查看 对 象 的 写 入 受 限 SID: 

Icacls /t /findsid “NT AUTHORITY\WRITE RESTRICTED” 

也 可 以 使 用 sc sidtype 命令 来 设置 SID 类 型 ， 其 语法 格式 如 下 

scsidtype [servicename] <none | restricted | unrestricted> 


服务 启动 或 是 重启 动 之 前 , SID 类 型 的 改变 并 不 会 起 作用 。 用 户 和 管理 员 在 更 改 SID 类 型 
之 前 ， 必 须要 清楚 这 样 做 的 后 果 。 


注意 
9 受 限 SID 比 写 入 受 限 SID 还 要 严格 ， 其 既 限 制 读 取 ， 也 限制 写 入 操作 。 


4. 网 络 访问 受 限 


管理 员 可 以 使 用 服务 名 (或 SID ) 和 端口 、 协 议 限 制 ， 来 实现 受 限 网 络 访问 。Windows 
高 级 安全 防火 墙 允 许 管理 员 定义 文件 〈 公 用 、 专 用 和 域 ) 上 的 服务 。Windows Server 2008 有 
许多 预定 义 的 规则 ， 都 是 用 于 服务 的 。 有 些 规则 适用 于 所 有 的 程序 和 服务 ， 有 些 则 适用 于 特定 
服务 ， 如 图 11.15 所 示 。 

Windows Server 2008 默认 开启 防火 墙 ， 同 时 启用 的 还 有 超过 170 个 入 站 〈inbound) 规则 
和 超过 80 个 出 站 outbound) 规则 (如 图 11.16 所 示 )。 
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， | 


图 11.15 基于 服务 的 防火 墙 规则 图 11.16 Windows 防火 墙 保护 服务 的 规则 


大 多 数 防火 墙 规则 是 针对 服务 的 ， 每 个 规则 可 以 是 定制 或 是 禁用 ， 管 理 员 也 可 以 增加 新 的 规 
则 。 用 户 可 以 要 求 在 连接 建立 前 ， 使 用 IPSec 和 加 密 /验证 ， 也 可 以 使 用 脚本 实现 规则 的 设置 。 
Windows Vista 和 Windows Server 2008 包含 了 超过 80 个 预定 义 发 送 规则 ， 并 且 是 默认 启用 的 。 可 
以 在 HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\ 
RestrictedServices\static 查看 这 些 服务 的 列 
表 ， 如 图 11.17 所 示 。 

这 些 规则 在 常规 的 界面 上 是 看 不 到 的 , 因 
为 要 避免 其 被 修改 。 如 果 想 要 增加 规则 ， 应 当 
使 用 COM 脚本 工具 。 微 软 使 用 域 与 服务 隔离 
的 办 法 ， 只 能 导致 网 络 更 加 容易 受到 攻击 。 某 
些 攻击 ， 包 括 Blaster 蠕虫 ， 假 如 防火 墙 规则 
启用 的 话 ， 当 时 就 不 会 造成 如 此 巨大 的 危害 。 
使 用 防火 墙 规则 , Windows 防火 墙 可 以 轻松 阻 
止 默认 的 出 站 流量 。 图 11.17 防火墙 静态 服务 规则 

5. 会 话 0 隔离 

Windows 中 所 有 的 服务 都 是 在 会 话 0 上 运行 的 ， 而 所 有 的 用 户 模式 应 用 程序 则 不 是 。 这 
可 以 防止 应 用 程序 〈 可 能 是 恶意 程序 ) 在 第 0 会 话 执行 。 近 年 来 所 报告 的 Windows 漏洞 中 ， 
绝 大 部 分 与 桌面 的 执行 代码 有 关 。 所 以 ， 服 务 会 话 隔离 是 非常 必要 的 。 

会 话 0 隔离 的 缺点 是 ， 与 终端 用 户 交 互 的 遗留 服务 无 法 显示 信息 和 提示 。 没 有 垫 片 的 话 ， 
遗留 服务 无 法 在 会 话 0 显示 信息 ， 终 端 用 户 也 就 不 能 阅读 。 交 互 式 服务 检测 (ui0detect) 服务 
人 允许 遗留 服务 与 终端 用 户 通信 。 当 其 启动 时 〈 非 默认 启动 )， 服 务 会 检测 试图 与 用 户 通信 的 服 
务 ， 然 后 通知 登录 的 交互 式 用 户 。 据 微软 消息 ，UIOdetect 服务 只 是 临时 热 片 ， 以 后 将 不 复 存 
在 。 软 件 提供 商 需要 重新 编写 服务 ， 使 其 在 使 用 RPC、COM、 命 名 管道 和 其 他 通信 方式 的 会 
话 中 与 用 户 沟通 。 

6. 强制 完整 性 级 别 

每 个 服务 都 有 默认 的 系统 强制 完整 性 级 别 。 只 有 TrustedInstaller 的 完整 性 级 别 是 高 级 ， 
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Windows 可 以 使 用 TrustedInstaller 服务 来 升级 、 安 装 和 外 载 服务 。 


7. 数据 执行 保护 技术 


大 多 数 的 服务 都 是 处 于 数据 执行 保护 
(Data Execution Prevention ，DEP ) 和 
ASLR 的 保护 下 ， 如 图 11.18 所 示 。 数 据 执 
行 保护 (DEP) 通过 阻止 程序 在 不 可 使 用 的 
内 存 执行 命令 , 从 而 达到 解决 缓冲 区 溢出 的 
问题 .DEP 和 ASLR 都 有 助 于 防范 缓冲 区 洲 
出 , 并 且 还 可 以 阻止 某 些 恶意 攻击 ， 其 能 够 
抵御 之 前 Windows 平台 所 不 能 防范 的 攻击 。 


服务 的 开发 者 应 当 确保 其 服务 使 用 DEP 和 本 my 
ASLR。 本 


8. 其 他 SCM 新 特性 


在 Windows Vista 之 前 ， 客 户 端 只 能 使 用 应 用 程序 编程 接口 Application Programming 
Interface，API)、QueryServiceStatusEx 函数 以 及 服务 状态 登记 来 确定 某 服务 的 状态 更 改 、 创 建 
和 删除 。 这 种 查询 方法 效率 相当 低 。 

Windows Vista 引入 了 一 个 新 的 API, NotifyServiceStatusChange， 其 允许 SCM 在 服务 被 创 
建 、 删除 、 状 态 改变 时 给 客户 程序 发 出 通知 。 这 意味 着 监控 服务 的 程序 可 以 接收 服务 更 改 的 信 
息 ， 从 而 使 得 开发 管理 工具 更 加 容易 。 

在 服务 关闭 之 前 ,其 会 发 出 通知 , 给 用 户 更 多 的 准备 时 间 。 关 闭 服务 也 考虑 到 服务 的 依赖 
程序 ， 并 且 关闭 服务 的 顺序 也 更 加 合理 。 

SCM 还 可 以 检测 并 还 原 某 些 非 致命 错误 ， 在 Windows 的 早期 版 本 中 ， 还 原 操作 会 导致 服 
务 骨 省。 现在 ， 内 存 泄露 、 系 统 变 慢 以 及 其 他 问题 都 进行 还 原 操作 。 


11.4 服务 安全 


基于 运行 服务 的 风险 , 微软 开发 团队 分 析 和 改进 了 所 有 Windows 服务 的 安全 性 能 。 虽 然 如 此 ， 
作为 系统 管理 员 还 是 应 当 格 外 谨慎 。 以 下 的 这 些 方法 ， 可 以 减 小 被 恶意 软件 侵入 的 危险 。 


11.4.1 服务 清单 


要 确保 服务 安全 , 管理 员 必 须 理解 和 记录 下 计算 机 所 需要 运行 的 服务 。 如 果 要 务 载 多 余 的 
服务 ,必须 要 有 服务 列表 和 服务 的 具体 说 明 。 很 多 内 置 和 第 三 方 工具 可 以 提供 这 个 列表 , 例如 
Sc.exe， 其 可 以 用 来 查询 本 地 和 远程 服务 ， 然 后 返回 服务 信息 特权 、 状 态 、 启 动 类 型 等 )， 
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供 管理 员 参 考 。Windows 管理 规范 (Windows Management Instrumentation，WMI) 和 Windows 
管理 规范 命令 行 (Windows Management Instrumentation Command-line，WMIC) 也 可 以 做 到 ， 
例如 ， 要 查询 Serverl 上 的 服务 信息 ， 可 以 在 命令 提示 符 窗口 中 ， 输 入 如 下 命令 : 


wmic /output:c:\services.htm /node:serverl service list full / format:htable 


回 车 执行 ， 显 示 如 图 11.19 所 示 结 果 。 


ierosoft Windovs 【 禄 本 56.8-6981] 
版 术 所 有 <C》2966 Nicresoft Corporatian 。 保留 六 有 权利 - 


图 11.19 要 查询 Server1 上 的 服务 信息 


使 用 Internet Explorer 可 以 检查 Ci\services.htm file， 其 他 工具 ， 例 如 系统 管理 服务 器 或 系 
统 中 心 设置 管理 器 ， 都 可 以 用 来 返回 详尽 的 服务 清单 。 应 当 根 据 企 业 的 风险 接受 级 别 、 周 期 性 
查看 服务 清单 。 如 果 不 能 确定 计算 机 系统 的 服务 清单 , 应 当 首 先 启动 风险 接受 级 别 最 高 的 系统 
及 与 其 相关 的 系统 。 


11.4.2 ”最 小 化 运行 服务 


首先 确认 哪些 是 必需 的 服务 ， 然 后 邱 载 或 禁用 多 余 的 服务 ， 这 是 非常 必要 的 。 运 行 的 服务 
越 少 ， 服 务 器 就 越 不 容易 受到 攻击 。 通 常情 况 下 ， 系 统 所 启用 的 服务 ， 都 是 某 些 角色 必需 的 ， 
而 对 于 明显 多 于 的 服务 和 不 符合 企业 策略 的 服务 ， 用 户 可 以 根据 需要 修改 。 以 DHCP 客户 端 
为 例 ， 许 多 服务 器 ， 包 括 有 静态 地 址 的 服务 器 ， 都 默认 启用 DHCP 客户 端 ， 这 可 能 导致 未 经 
授权 的 对 等 文件 共享 。 如 果 系 统 中 有 许多 未 经 授权 的 潜在 危险 服务 , 管理 员 在 检测 系统 时 会 发 
现 这 些 问 题 的 。 

如 果 用 户 想 要 对 默认 服务 进行 修改 , 建议 用 户 操作 之 前 咨询 一 下 专业 人 士 。 Windows Vista 
和 Windows Server 2008 中 服务 的 介绍 以 及 相关 建议 ， 用 户 可 以 参考 如 下 网 址 : 


m http://www.microsoft.com/whdc/system/vista/Vista_Services.mspx 

ma http://www.microsoft.com/downloads/details.aspx?FamilyID=a3dlbbed-7f35-4e72-bfb5- 
b84a526c1565&displaylang=en 

ma http://www.microsoft.com/downloads/details.aspx?FamilyID=fb8b981f-227c-4afl1-a44b- 
b115696a80ac&DisplayLang=en 


多 余 的 服务 应 当 予 以 卸载 或 是 禁用 。 卸载 比较 安全 , 不 过 禁用 的 话 还 可 以 在 日 后 需要 时 再 
启用 。 另 外 ,在 禁用 或 是 卸载 服务 之 前 ， 必 须要 弄 清楚 这 样 做 的 后 果 。 经 常备 份 系统 ， 是 一 个 
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好 习惯 ， 即 便 修改 服务 出 现 了 问题 ， 也 可 以 亡羊补牢 。 
11.4.3 ”使 用 最 小 化 特权 安全 模型 


微软 已 经 对 所 有 的 服务 实行 了 最 小 化 特权 原则 。 最 小 化 特权 安全 模型 更 多 的 用 于 第 三 方 或 
用 户 定义 的 服务 。 不 过 ， 很 多 软件 供应 商 对 最 小 化 特权 都 不 是 很 感 兴趣 , 尤其 是 服务 的 最 小 化 
特权 安全 模型 。 

如 果 安装 了 新 的 服务 ， 但 不 熟悉 其 安全 级 别 ， 应 当 咨 询 软件 提供 商 。 使 用 Sc.exe 可 以 查 
看 服务 的 SID、SID 类 型 、 登 录 帐 户 和 所 需 特权 等 信息 。 如 果 特 权 和 权限 超过 了 服务 应 得 的 级 
别 ， 需 要 联系 软件 提供 商 ， 并 请 求 最 小 化 特权 协助 。 如 果 软 件 提供 商 不 支持 最 小 特权 原则 ， 最 
好 是 邱 载 这 个 服务 。 对 于 软件 提供 商 来 说 ， 最 重要 的 是 顾客 的 反应 及 其 对 产品 的 支持 。 


11.4.4 及 时 更 新 


微软 提供 软件 升级 ， 可 以 修补 系统 漏洞 ， 提 高 安全 性 ， 并 且 优化 性 能 。 如 果 服 务 有 致命 性 
的 bug， 并 且 影 响 到 很 大 的 用 户 群 ， 微 软 的 反应 就 会 非常 迅速 ， 立 刻 会 提供 相应 的 补丁 下 载 。 
及 时 升级 ， 是 增强 安全 的 必要 措施 。 历 史上 最 危险 的 两 种 恶意 软件 (SQL Slammer 和 Blaster) 
都 是 针对 未 能 及 时 更 新 的 计算 机 。 


11.4.5 ”创建 和 使 用 自 定义 服务 帐户 


微软 建议 尽 可 能 使 用 内 置 服务 帐户 《本 地 系统 、 本 地 服务 和 网 络 服务 )， 不 过 ， 创 建 自 定 
义 服务 登录 帐户 在 某 些 时 候 更 能 达到 安全 的 目的 。 


1. 使 用 高 强度 密码 并 定期 更 换 


自 定义 服务 登录 帐户 应 当 有 一 个 高 强度 的 密码 , 并 且 定期 更 换 。 自 定义 服务 帐户 在 两 个 地 
方 存储 密码 ， 本 地 SAM 数据 库 的 动态 目录 和 本 地 系统 中 可 检索 并 使 用 SCM 的 目录 中 。 当 更 
改 密码 时 ,这 两 个 地 方 的 密码 都 会 随 之 更 改 。 虽然 这 样 做 有 点 麻烦 , 但 是 其 能 够 保证 帐户 的 安 
全 。 使 用 脚本 可 以 简化 此 操作 ， 包 括 Microsoft Developer Network 提供 的 一 个 脚本 。 


注意 
3] 使 用 密码 检查 工具 ， 检 查 登 录 帐 户 密码 的 弱点 ， 以 便 及 时 更 换 密码 。 


2. 使 用 组 策略 


如 果 使 用 高 特权 的 自 定义 服务 登录 帐户 , 应 用 组 策略 可 以 简化 权限 分 配 的 工作 , 同时 也 可 
以 避免 权限 的 误 用 。 当 组 和 其 成 员 属于 受 限 组 〈 计 算 机 配置 \ 策 略 \Windows 设置 \ 安 全 设置 \ 受 
限 组 ) 时 , 对 于 受 限制 的 组 特性 之 外 的 修改 是 无 效 的 。 自 定义 服务 登录 帐户 的 特权 和 权限 可 以 


2 


第 1 章 系统 服务 安全 了 


指派 给 组 ， 组 成 员 则 会 强制 使 用 受 限 组 。 
3. 尽量 少 使 用 域 管理 员 帐 户 
不 要 在 非 域 控制 器 上 使 用 域 管理 员 组 的 自 定义 服务 登录 帐户 , 否则 一 旦 出 现 问题 的 话 , 整 


个 森林 都 会 被 波及 。 使 用 其 他 帐户 ， 比 如 本 地 系统 帐户 , 看 看 能 不 能 被 服务 所 接受 。 在 使 用 高 
特权 级 别 服务 帐户 时 ， 一 定 要 注意 这 点 。 


4. 使 用 本 地 系统 帐户 


很 多 专家 建议 说 , 如 果 可 以 的 话 , 应 当 把 需要 本 地 系统 访问 权限 的 服务 都 转移 到 较 低 的 自 
定义 服务 帐户 上 去 。 有 的 管理 员 就 此 得 出 结论 ， 认 为 要 尽量 避免 运行 本 地 系统 中 的 服务 。 这 样 
的 想法 完全 忽略 了 本 地 系统 帐户 所 提供 的 保护 机 能 。 因 为 本 地 帐户 没有 密码 , 入 侵 者 也 就 无 从 
下 手 。 如 果 入 侵 者 攻击 在 本 地 系统 上 下 文中 运行 的 服务 ,其 只 能 控制 本 地 计算 机 ,而 无 法 入 侵 
域 和 森林 中 的 计算 机 ， 除 非 他 获得 了 域 管理 员 帐 户 。 

使 用 服务 ,最 好 是 使 用 最 小 特权 的 服务 登录 帐户 ,尽量 使 用 本 地 服务 或 网 络 服务 ， 如 果 不 
需要 管理 员 或 本 地 系统 权限 ， 应 当 创 建 自 定义 最 小 化 特权 的 服务 帐户 。 如 果 软 件 提供 商 认 为 ， 
其 服务 必须 要 在 非 域 控制 器 的 域 管理 员 上 下 文中 运行 , 则 应 当 使 用 自 定义 服务 帐户 , 允许 服务 
具有 其 需要 访问 资源 的 完全 管理 权限 。 更 彻底 的 做 法 是 , 将 产品 退货 并 要 求 退 款 。 重 要 文件 和 
注册 表 资 源 的 完全 控制 权限 ， 比 域 管理 员 组 的 帐户 还 要 重要 。 大 多 数 文件 和 文件 夹 的 完全 控制 
权限 ， 如 果 指派 给 非 管理 员 组 ， 则 服务 不 能 添加 和 移 除 用 户 、 更 改 用 户 密 码 以 及 进行 其 他 管理 
操作 。 系统 的 完全 控制 权限 和 管理 员 访问 权限 并 不 一 样 。 如 果 服 务 帐户 不 需要 管理 员 权限 ， 应 
授予 其 本 地 系统 权限 。 本 地 系统 是 本 地 管理 员 ， 无 需 定期 更 改 密码 。 


小 结 


Windows Server 2008 和 Windows Vista 上 的 服务 , 比 起 之 前 版 本 的 操作 系统 , 已 经 有 了 很 
大 改善 。 通 过 应 用 最 小 特权 原则 、 隔 离 会 话 0、 限 制 网 络 访问 以 及 使 用 DEP 和 ASLR 保护 ， 
服务 的 运行 更 加 安全 。 管理 员 可 以 移 除 不 必要 的 服务 , 应 用 最 小 特权 模型 ， 从 而 降低 系统 面临 
的 安全 风险 。 虽然 Windows 一 直 是 入 侵 者 的 攻击 目标 , 但 是 最 小 特权 服务 能 提供 有 效 的 保护 。 


习 是 


1. 简 述 何 为 系统 服务 安全 。 
2. 介绍 几 种 最 普通 的 攻击 威胁 。 
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实验 : 配置 系统 服务 安全 


实验 目的 
掌握 如 何 配置 系统 服务 ， 以 及 服务 的 启动 与 停止 的 不 同方 法 。 
实验 内 容 


配置 DHCP Client 服务 的 启动 类 型 为 “自动 ”使 用 图 形 界面 停止 该 服务 ， 然 后 使 用 命令 
方式 重新 启动 服务 。 


实验 步骤 


1. 设置 服务 的 启动 方式 。 
2. 使 用 图 形 界面 停止 该 服务 。 
3. 使 用 net start 命令 重新 启动 服务 。 
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端口 安全 


端口 也 称 “ 网 络 接口 ”， 是 服务 器 上 的 网 络 服务 对 外 提供 的 主要 通道 ， 一 
台 被 配置 IP 地 址 的 服务 器 ， 可 以 提供 多 种 不 同 的 网 络 服务 。 许 多 网 络 攻击 都 
是 从 常用 端口 扫描 开始 的 , 通过 扫描 远程 计算 机 端口 发 现 漏洞 进而 攻击 , 所 以 
计算 机 端口 对 每 个 计算 机 用 户 来 说 非常 重要 。 通 常 不 使 用 默认 端口 , 并 且 关 闭 
不 需要 的 端口 ， 以 减少 被 攻击 的 机 率 。 


关闭 端口 
重 定向 默认 端口 
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12.1 端口 介绍 


众所周知 ， 计 算 机 之 间 通 信 是 通过 端口 进行 的 ， 当 要 访问 一 个 网 站 时 ，Windows 会 在 本 
机 开 一 个 端口 ,然后 去 连接 远方 网 站 服务 器 的 一 个 端口 , 当 其 他 主机 访问 本 地 计算 机 时 也 是 如 
此 。 默 认 状态 下 ，Windows 会 在 计算 机 上 打开 许多 服务 端口 ， 黑 客 常常 利用 这 些 端口 来 实施 
入 侵 ， 因 此 掌握 端口 方面 的 知识 ， 是 安全 上 网 必 备 的 技能 。 


12.1.1 端口 概述 


“端口 ”可 以 认为 是 计算 机 与 外 界 通讯 交流 的 出 入 口 。 在 硬件 领域 的 端口 又 称 接口 ， 如 : 
USB 端口 、 串 行 端口 等 。 在 软件 领域 的 端口 一 般 是 指 网 络 中 面向 连接 服务 和 无 连接 服务 的 通 
信 协 议 端 口 ， 是 一 种 抽象 的 软件 结构 ， 包 括 一 些 数据 结构 和 IJ/O 缓冲 区 。 

在 网 络 技术 中 ,“ 端 口 ” 有 好 几 种 含义 。 集 线 器 、 交 换 机 采用 路 由 器 的 端口 指 的 是 连接 其 
他 网 络 设备 的 接口 ， 如 RJ-45 端口 、Serial 端口 等 。 而 这 里 所 指 的 端口 不 是 指 物理 意义 上 的 端 
口 ， 而 是 特 指 TCP/IP 协议 中 的 端口 ， 是 由 辑 意义 上 的 端口 。 


12.1.2 ”端口 的 分 类 


每 个 卫 地 址 可 提供 65 536 个 端口 , 想 详细 记 住 每 个 端口 的 功能 、 状态 、 类 型 等 详细 信息 ， 
显然 是 不 太 可 能 的 。 为 了 便于 应 用 和 管理 , 管理 员 需 要 了 解 一 些 常用 的 端口 分 类 方式 。 从 人 逻辑 
意义 上 说 , 端口 分 类 有 多 种 分 类 标准 , 按 端口 号 分 布 划分 和 按 协 议 类 型 划分 是 其 中 较为 常用 的 
两 种 分 类 方法 。 

1. 按 端口 号 划分 

按照 端口 号 划分 ， 可 以 将 端口 分 为 3 大 类 ， 即 公认 端口 、 注 册 端 口 、 动 态 或 私有 端口 。 

(1) 公认 端口 

公认 端口 (Well Known Ports) 范围 为 0~1 023。 这 些 端 口号 一 般 被 系统 固定 地 分 配给 了 一 
些 服 务 。 例如 21 端口 被 分 配给 FTP 服务 , 25 端口 被 分 配给 SMTP (简单 邮件 传输 协议 ) 服务 ， 
110 端口 被 分 配给 POP3 服务 ，80 端口 被 分 配给 WWW 服务 ，135 端口 被 分 配给 RPC 远程 
过 程 调用 ) 服务 等 。 

(2) 注册 端口 

注册 端口 (Registered Ports) 范围 为 1 024~49 151。 注 册 端 口 松散 绑 定 于 一 些 服务 ， 即 端 
口号 一 般 不 会 固定 分 配给 某 个 服务 , 许多 服务 都 可 以 使 用 这 些 端口 。 只 要 运行 的 程序 向 系统 提 
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出 访问 网 络 的 申请 , 那么 ,系统 就 可 以 从 这 些 端口 号 中 , 自动 分 配 一 个 端口 供 程序 使 用 。 比 如 ， 
1 024 端口 分 配给 第 一 个 向 系统 发 出 申请 的 程序 ， 而 在 该 程序 进程 关闭 后 ， 就 会 释放 其 所 占用 
的 1 024 端口 。 因 此 ， 注 册 端口 在 一 定 程度 上 降低 了 系统 的 安全 性 。 


(3 ) 动态 或 私有 端口 

动态 或 私有 端口 (Dynamic and/or Private Ports) 范围 为 49 512~65 535。 通 常情 况 下 ， 不 
建议 为 服务 分 配 这 些 端 口 。 动 态 端口 和 注册 端口 并 无 太 大 区 别 , 因此 可 以 直接 将 端口 按照 端口 
号 划分 为 公认 端口 (0~ 1023) 和 私有 端口 (1 024~65 535)。 

2. 协议 类 型 划分 

端口 按 协议 类 型 划分 ， 可 以 分 为 TCP、UDP 等 端口 。 

(1) TCP 端口 
TCP 端口 是 由 TCP 协议 而 来 的 ， 即 传输 控制 协议 端口 ， 需 要 在 客户 端 和 服务 器 之 间 建 立 


连接 ， 这 样 可 以 提供 可 靠 的 数据 传输 。 

常用 TCP 端口 包括 : 

m HTTP: 超 文 本 传送 协议 使 用 80 端口 ， 用 于 实现 Web 服务 和 网 页 浏览 ; 

m FTP: 文件 传输 协议 使 用 21 端口 ， 用 于 实现 文件 的 上 传 和 下 载 ; 

m SMTP: 简单 邮件 传送 协议 使 用 25 端口 ， 用 于 发 送 电 子 邮件 ; 

mm POP3: 邮局 协议 使 用 110 端口 ， 用 于 接收 电子 邮件 。 

(2) UDP 端口 

UDP 端口 ， 即 用 户 数据 包 协议 端口 ， 无 需 在 客户 端 和 服务 器 之 间 建 立 连接 ， 安 全 性 得 不 
到 保障 。 常 见 的 有 DNS 服务 的 53 端口 、SNMP (简单 网 络 管理 协议 ) 服务 的 161 端口 、QQ 


使 用 的 8 000 和 4 000 端口 等 。 
常用 UDP 端口 包括 : 


mm DNS: 域名 解析 服务 使 用 53 端口 ， 用 于 实现 将 域名 解析 为 地 址 ; 


提示 
这 DNS 服务 还 同时 使 用 TCP 53 端口 。 


m SNMP: 简单 网 络 管理 协议 使 用 161 端口 ， 用 于 实现 对 网 络 设备 的 远程 管理 和 监视 ， 由 
于 网 络 设备 很 多 ， 所 以 无 连接 的 服务 体现 出 其 优势 ; 

@ QQ: QQ 服务 使 用 8 000 端口 ， 监 听 是 否 有 信息 发 送 过 来 ， 客 户 端 使 用 的 则 是 4 000 端 
口 ， 并 通过 该 端口 向 外 发 送信 息 ， 但 如 果 上 述 端口 正在 使 用 (例如 ， 同 时 与 几 个 好 友 聊 
天 ) ， 则 端口 号 顺序 自动 递增 4 001、4 002。 
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12.1.3 ”应 用 程序 和 服务 端口 


任何 网 络 应 用 都 离 不 开端 口 , 大 多 数 应 用 程序 和 服务 都 使 用 固定 的 公认 端口 , 因此 使 用 过 


程 中 可 以 省 略 端口 标识 。 


虽然 方便 了 应 用 ， 但 同时 也 为 入 侵 者 留 下 了 “后 门 ”>。 为 了 提高 系统 


和 网 络 通信 的 安全 , 用 户 必须 掌握 常用 应 用 程序 和 服务 使 用 的 端口 , 以便 在 必要 时 对 其 进行 配 
置 。 如 表 12.1 所 示 为 Windows 服务 器 和 常见 应 用 程序 所 使 用 的 端口 号 及 端口 类 型 。 


表 12.1 常见 应 用 程序 和 服务 端口 


TCP/UDP 回 显 协议 Echo 

23 TCP Telnet 协议 

25 TCP 简单 邮件 传输 协议 (SMTP) 

43 别名 /Whois 协议 

5 域名 系统 协议 (DNS) 

67 |upp | pHcp( 请 求 ) 

68 |upp |pHcp( 答 复 ) 

69 普通 文件 传输 协议 (TFTP) 

80 超 文本 传输 协议 (HTTP) 

110 邮局 协议 v.3(POP3) 

135 用 于 发 布 Exchange 服务 器 从 外 部 网 络 访问 RPC 

135 远程 过 程 调 用 协议 RPC 

137 NetBIOS 名 称 服务 协议 

138 NetBIOS 数据 报 协 议 

139 NetBIOS 会 话 协议 

143 交互 式 的 邮件 访问 (IMAP4) 

389 TCP/UDP 轻型 目录 访问 协议 (LDAP) 

443 TCP 安全 超 文 本 传输 协议 (HTTPS) 

1433 TCP/UDP Microsoft SQL 

1 863 MSN 即时 消息 协议 (MSN 即时 消息 协议 ) 

5 190 TCP AOL 即时 消息 协议 

5 190 TCP ICQ 2000 协议 

5 500 UDP SecurD 

6 667 TCP Internet 中 继 聊天 (IRC) 

6 801 UDP Net2Phone 协议 (辅助 TCP 3 000~4 000, TCP 7 
800~7 900) 

7070 TCP Progressive Networks 流 媒 体 协 议 (PNM) 

8 000 UDP QQ 即时 信息 
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12.2 ”端口 扫描 


一 个 端口 就 是 一 个 潜在 的 通信 通道 , 也 是 一 个 入 侵 通 道 。 对 目标 计算 机 进行 端口 扫描 ， 能 
得 到 许多 有 用 的 信息 。 进 行 扫描 的 方法 很 多 ,可 以 手工 进行 扫描 ， 也 可 以 用 端口 扫描 软件 进行 
扫描 。 在 手工 进行 扫描 时 ， 需 要 熟悉 各 种 命令 。 对 命令 执行 后 的 输出 进行 分 析 。 用 扫描 软件 进 
行 扫描 时 ， 许 多 扫描 器 软件 都 有 分 析 数 据 的 功能 。 通 过 端口 扫描 ， 可 以 得 到 许多 有 用 的 信息 ， 
从 而 发 现 系 统 的 安全 漏洞 。 


12.2.1 端口 扫描 原理 


扫描 器 是 一 种 自动 检测 远程 或 本 地 主机 安全 性 弱点 的 程序 ,通过 使 用 扫描 器 用 户 可 以 不 留 
痕迹 的 发 现 远程 服务 器 的 各 种 TCP 端口 的 分 配 及 提供 服务 的 情况 ， 这 就 能 使 得 用 户 间接 或 直 
观 了 解 到 远程 主机 所 存在 的 安全 问题 。 

扫描 器 通过 选用 远程 TCP/IP 不 同 的 端口 服务 ， 记 录 目 标 给 予 的 回答 ， 通 过 此 类 方法 ， 可 
以 搜集 到 很 多 关于 目标 主机 各 种 有 用 的 信息 。 


12.2.2 ”端口 扫描 应 用 


扫描 器 并 不 是 一 个 直接 攻击 网 络 漏洞 的 程序 ， 只 能 帮助 用 户 发 现 目标 主机 某 些 内 在 的 弱 
点 。 一 个 好 的 扫描 器 能 对 其 得 到 的 数据 进行 分 析 ， 帮 助 用 户 查 找 目标 主机 的 漏洞 ， 却 不 会 提供 
进入 一 个 系统 的 详细 步骤 。 

扫描 器 应 该 有 三 项 功能 : 

和 发 现 一 个 主机 或 网 络 的 能 

里 发 现 什么 服务 正 运行 在 这 人 台 主 机 上 的 能 力 ; 

里 通过 测试 这 些 服务 ， 发 现 漏洞 的 能 力 。 


12.2.3 ”端口 扫描 技术 


当 确定 了 目标 主机 可 达 后 ， 可 以 使 用 端口 扫描 技术 , 发 现 目 标 主机 的 开放 端口 , 包括 网 络 
协议 和 各 种 应 用 监听 的 端口 。 端 口 扫描 技术 主要 包括 以 下 三 类 : 
于 开放 扫描 : 会 产生 大 量 的 审计 数据 ， 容 易 被 对 方 发 现 ， 但 其 可 靠 性 高 ; 
于 隐 项 扫描 : 能 有 效 的 避免 对 方 入 侵 检 测 系 统 和 防火 墙 的 检测 , 但 这 种 扫描 使 用 的 数据 包 
在 通过 网 络 时 容易 被 丢弃 从 而 产生 错误 的 探测 信息 ; 
于 半 开 放 扫描 : 隐蔽 性 和 可 靠 性 介 于 前 两 者 之 间 。 
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1. TCP connect () 扫描 


TCP connect () 扫描 是 最 基本 的 TCP 扫描 。connect () 是 一 种 系统 调用 ， 由 操作 系统 提 
供 ， 用 来 与 每 一 个 感 兴趣 的 目标 计算 机 的 端口 进行 连接 。 如 果 目 标 端口 有 程序 监听 状态 ， 
comnect〈) 就 会 成 功 返回 ， 和 否则 这 个 端口 是 不 可 用 的 ， 即 没有 提供 服务 。 

这 个 技术 的 一 个 最 大 的 优点 是 , 系统 中 的 任何 用 户 都 有 权利 使 用 这 个 调用 。 另 一 个 优点 就 
是 速度 。 如 果 对 每 个 目标 端口 以 线性 的 方式 ， 使 用 单独 的 connect () 调用 ， 那 么 将 会 花费 相 
当 长 的 时 间 ， 用 户 可 以 通过 同时 打开 多 个 套 接 字 ， 从 而 加 速 扫描 。 使 用 非 阻塞 IO 允许 用 户 设 
置 一 个 低 的 时 间 用 尽 周期 ， 同 时 观察 多 个 套 接 字 。 此 类 方法 的 缺点 非常 容易 被 发 觉 ， 且 被 过 滤 
掉 。 目 标 计算 机 的 logs 文件 会 显示 一 连 串 的 连接 和 连接 出 错 的 服务 消息 ， 并 且 在 很 短 的 时 间 
内 将 其 它 关 闭 。 

2. TCP SYN 扫描 


扫描 器 向 目标 主机 端口 发 送 SYN 包 。 如 果 应 答 是 RST 包 ， 那么 说 明 端口 是 关闭 的 ， 如 果 
应 答 中 包含 SYN 和 ACK 包 ， 说 明 目 标 端口 处 于 监听 状态 ， 再 传送 一 个 RST 包 给 目标 机 从 而 
停止 建立 连接 。 由 于 在 SYN 扫描 时 ,全 连接 尚未 建立 ， 所 以 这 种 技术 通常 被 称 为 半 连 接 扫描 ， 
其 优点 和 缺点 如 下 : 

日 优点 : 隐蔽 性 较 全 连接 扫描 好 ， 一 般 系统 对 这 种 半 扫 描 很 少 记录 ，; 

日 缺点 : 通常 构造 SYN 数据 包 需 要 超级 用 户 或 者 授权 用 户 访问 专门 的 系统 调用 。 


3.TCP FIN 扫描 


扫描 器 向 目标 主机 端口 发 送 FIN 包 。 当 一 个 FIN 数据 包 到 达 一 个 关闭 的 端口 ， 数 据 包 会 
被 丢掉 ， 并 且 返 回 一 个 RST 数据 包 。 否 则 ， 若 是 打开 的 端口 ， 数 据 包 只 是 简单 的 丢掉 不 返 
回 RST)。 


和 优点 : 由 于 这 种 技术 不 包含 标准 的 TCP 三 次 握手 协议 的 任何 部 分 ， 所 以 无 法 被 记录 下 
来 ， 从 而 必 SYN 扫描 隐蔽 得 多 ，FIN 数据 包 能 够 通过 只 监测 SYN 包 的 包 过 滤器 。 
和 缺点: 
> 跟 SYN 扫描 类 似 ， 需 要 自己 构造 数据 包 ， 要 求 由 超级 用 户 或 者 授权 用 户 访问 专门 的 
系统 调用 ; 
> 通常 适用 于 UNIX 目标 主机 ， 除 过 少量 的 应 当 丢 弃 数据 包 却 发 送 RST 包 的 操作 系统 
(包括 CISCO, HP/UX, MVS 和 IRIX)。 但 在 Windows95/NT 环境 下 ， 该 方法 无 效 ， 
因为 不 论 目 标 端 口 是 否 打开 ， 操 作 系 统 都 返回 RST 包 。 


4. IP 段 扫描 


了 P 段 扫描 不 算是 一 种 新 方法 ， 只 是 其 技术 在 不 断 变 化 。IP 段 扫描 并 不 是 直接 发 送 TCP 探 
测 数 据 包 ， 是 将 数据 包 分 成 两 个 较 小 的 他 段 。 这 样 就 可 以 将 一 个 TCP 头 分 成 好 几 个 数据 包 ， 
从 而 过 滤器 就 很 难 探测 到 。 
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5. TCP 反 向 ident 扫描 


ident 协议 允许 看 到 通过 TCP 连接 的 任何 进程 的 拥有 者 的 用 户 名 ， 即 使 这 个 连接 不 是 由 这 
个 进程 开始 的 。 例 如 , 连接 到 http 端口 , 然后 用 Ident 来 发 现 服务 器 是 否 正在 以 root 权限 运行 。 
其 缺点 就 是 使 用 这 种 方法 只 能 在 和 目标 端口 建立 了 一 个 完整 的 TCP 连接 后 才能 看 到 。 


6. FTP 返回 攻击 


FTP 协议 的 特点 是 支持 代理 FTP 连接 。 即 入 侵 者 可 以 从 本 地 计算 机 src.com 和 目标 主机 
dest.com 的 FTP server-PI( 协 议 解释 器 ) 连 接 , 建立 一 个 控制 通信 连接 。 然 后 , 请 求 这 个 server-PI 
激活 一 个 有 效 的 server-DTP (数据 传输 进程 ) 用 来 给 Intemet 上 任何 地 方 发 送 文件 。 对 于 一 个 
User-DTP， 尽 管 RFC 明确 定义 ， 请 求 一 个 服务 器 发 送 文件 到 另 一 个 服务 器 是 可 以 的 ， 但 是 对 
于 目前 的 大 多 数 用 户 并 不 支持 。 

利用 FTP 返回 攻击 的 目的 是 从 一 个 代理 的 FTP 服务 器 来 扫描 TCP 端口 。 这 样 ， 用 户 能 在 
一 个 防火 墙 后 面 连接 到 一 个 FTP 服务 器 ， 然 后 扫描 端口 。 如 果 FTP 服务 器 允许 从 一 个 目录 读 
写 数据 , 用 户 就 能 发 送 任意 的 数据 到 发 现 的 打开 的 端口 。 对 于 端口 扫描 , 这 个 技术 是 使 用 PORT 
命令 来 表示 被 动 的 User DTP 正在 目标 计算 机 上 的 某 个 端口 监听 。 然 后 入 侵 者 试图 用 LIST 命 
令 列 出 当前 目录 ， 结 果 通 过 Server-DIP 发 送出 去 。 如 果 目 标 主机 正在 某 个 端口 监听 ， 传 输 就 
会 成 功 ， 否 则 ， 就 会 出 现 “425 Can't build data connection:Connection refused.”。 然 后 ， 使 用 另 
一 个 PORT 命令 ， 尝 试 目标 计算 机 上 的 下 一 个 端口 。 这 种 方法 的 优点 很 明显 ， 难 以 跟踪 ， 能 穿 
过 防火 墙 。 主 要 缺点 是 速度 很 慢 ， 有 的 FTP 服务 器 最 终 能 得 到 一 些 线索 ， 关 闭 代 理 功 能 。 


7. UDP ICMP 端口 不 能 到 达 扫 描 


这 种 方法 与 上 面 几 种 方法 的 不 同 之 处 在 于 使 用 的 是 UDP 协议 。 由 于 这 个 协议 很 简单 , 所 以 扫 
描 变 得 相对 比较 困难 。 这 是 由 于 打开 的 端口 对 扫描 探测 并 不 发 送 一 个 确认 ， 关 闭 的 端口 也 并 不 需 
要 发 送 一 个 错误 数据 包 ,幸运 的 是 ,许多 主机 在 用 户 向 一 个 未 打开 的 UDP 端口 发 送 一 个 数据 包 时 ， 
会 返回 一 个 ICMP_PORT_UNREACH 错误 。 这样 用 户 就 能 发 现 哪个 端口 是 关闭 的 。UDP 和 ICMP 
错误 都 不 保证 能 到 达 ， 因 此 这 种 扫描 器 必须 还 实现 在 一 个 包 看 上 去 是 丢失 的 时 候 能 重新 传输 。 这 
种 扫描 方法 是 很 慢 的 ， 因 为 RFC 对 ICMP 错误 消息 的 产生 速率 做 了 规定 。 


8. UDP recvfrom () 和 write () 扫描 


当 非 root 用 户 不 能 直接 读 到 端口 而 不 能 到 达 错 误 时 ， 操 作 系统 能 间接 地 在 它们 到 达 时 通 
知 用 户 。 比 如 ， 对 一 个 关闭 的 端口 的 第 二 个 write () 调用 将 失败 。 在 非 阻塞 的 UDP 套 接 字 上 
调用 recvftom〈) 时 ， 如 果 ICMP 出 错 还 没有 到 达 时 返回 “EAGAIN- 重 试 ?。 如 果 ICMP 到 达 
时 ， 返 回 “ECONNREFUSED- 连 接 被 拒绝 ”。 这 就 是 用 来 查看 端口 是 否 打开 的 技术 。 

9. ICMP echo 扫描 


ping 的 实现 机 制 ， 在 判断 在 一 个 网 络 上 主机 是 否 开机 时 非常 有 用 。 向 目标 主机 发 送 ICMP 
Echo Request (type 8) 数据 包 ， 等 待 回复 的 ICMP Echo Reply 包 。 如 果 能 收 到 ， 则 表明 目标 系 
统 可 达 , 否则 表明 目标 系统 已 经 不 可 达 或 发 送 的 包 被 对 方 的 设备 过 滤 掉 。 其 优点 是 简单 ， 系 统 
支持 ， 然 而 缺点 却 是 容易 被 防火 墙 限制 。 
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12.3 ”查看 端口 


在 局 域 网 使 用 时 , 常常 会 发 现 系统 中 开放 了 一 些 莫名 其 妙 的 端口 ; 在 系统 运行 应 用 程序 和 
网 络 服务 时 ,端口 状态 也 可 能 在 不 断 变 化 , 并且 有 些 应 用 程序 可 能 会 同时 调用 多 个 端口 ,总体 
来 说 , 给 系统 的 安全 带 来 了 隐患 。 为 了 让 端口 的 使 用 情况 尽 在 掌握 之 中 , 需要 了 解 当前 端口 的 
开放 情况 和 工作 状态 ， 为 此 ， 可 以 通过 netstat 命令 和 第 三 方 工具 检查 出 使 用 端口 的 特定 程序 。 


12.3.1 使 用 netstat 命令 查看 端口 


只 要 用 户 为 本 地 计算 机 网 卡 正确 安装 了 TCP/IP 协议 , 就 可 以 使 用 Windows 提供 的 netstat 
命令 ,来 查看 本 地 计算 机 的 端口 开放 情况 。 在 Windows Server 2008 系统 中 ，TCP/IP 协议 是 默 
认 安 装 的 ， 所 以 用 户 无 需 任 何 操作 即 可 使 用 该 工具 。 

netstat 用 于 显示 与 了 了 、TCP、UDP 和 ICMP 协议 相关 的 统计 数据 ， 一 般 用 于 检验 本 机 各 
端口 的 网 络 连接 情况 。 


0 1 依次 选择 “开始 ”一 “所 有 程序 ”一 “附件 ”一 “命令 提示 符 ” 命 令 ， 右 击 该 选项 ， 在 弹出 的 快捷 菜单 
中 选择 “以 管理 员 身份 运行 ”命令 。 打开“ 管理 员 ， 命令 提示 符 ” 窗 口 。 
0 2 在 该 窗口 中 ， 输 入 “netstat an” 命 令 ， 按 下 回 车 键 ， 显 示 如 图 12.1 所 示 结 果 。 


12.1 “netstat an” 命 令 窗口 


语法 : netstat[-a][-b] [-e] [-f][-n] [-o] [-p proto] [-r] [-s][-t] [interval] 

参数 如 下 : 

-a 显示 所 有 连接 和 监听 端口 ; 

至-b 显示 在 创建 每 个 连接 或 监听 端口 时 涉及 的 可 执行 程序 。 在 某 些 情况 下 ， 已 知 可 执行 
程序 承载 多 个 独立 的 组 件 ， 这 些 情况 下 ， 显 示 创建 连 接 或 监听 端口 时 涉及 的 组 件 序列 。 
此 情况 下 , 可 执行 程序 的 名 称 位 于 底部 [ ] 中 , 它 调用 的 组 件 位 于 顶部 , 直至 达到 TCP/IP。 
注意 ， 此 选项 可 能 很 耗 时 ， 并 且 在 没有 足够 权限 时 可 能 失败 ; 
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@ -e 显示 以 太 网 统计 。 该 参数 可 以 与 -s 选项 结合 使 用 ; 
-显示 外 部 地 址 的 完全 限定 域名 <FQDN>; 
-nn 以 数字 形式 显示 地 址 和 端口 号 ; 
到 -0 显示 拥有 的 与 每 个 连接 关联 的 进程 ID; 
和 -p proto 显示 proto 指定 的 协议 的 连接 ; proto 可 以 是 下 列 任何 一 个 : TCP、UDP、TCPv6 
或 UDPv6。 如 果 与 -s 选项 一 起 用 来 显示 每 个 协议 的 统计 ，proto 可 以 是 下 列 任 何 一 个 
卫 、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP 或 UDPv6; 
到 - 显示 路 由 表 ; 
-Ss 显示 每 个 协议 的 统计 。 默 认 情况 下 ， 显 示 IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、 
UDP 和 UDPv6 的 统计 。-p 选项 可 用 于 指定 默认 的 子 网 ; 
到 -t 显示 当前 连接 印 载 状态 
mm Interval 重新 显示 选 定 的 统计 ， 各 个 显示 间 暂 停 的 隔 秒 数 。 按 Ctrl 十 C 停止 重新 显示 统 
计 。 如 果 省 略 ， 则 netstat 将 打印 3 


1. netstat -a 


显示 本 地 计算 机 上 所 有 连接 和 监听 的 端口 。 在 “管理 员 : 命令 提示 符 ” 窗 口中 , 输入 “netstat 
-a” 命 令 ， 按 下 回 车 键 。 显 示 如 图 12.2 所 示 。 


12.2 “netstat -a” 命 令 窗口 


提示 LISTENING 都 表示 


\Z 示 该 端 


端口 是 处 于 开放 状态 ， 是 可 以 连接 的 ; ESTABLISHED 则 表 
口 处 于 被 连接 状态 。 


2. netstat -an 


查看 当前 有 哪些 计算 机 正在 与 本 机 连接 ， 并 且 所 使 用 的 IP 地 址 以 及 端口 等 信息 ， 如 果 想 
要 达到 这 个 目的 ， 可 以 使 用 此 命令 进行 查看 。 

在 “管理 员 : 命令 提示 符 ” 窗 口中 ,输入 “netstat -an” 命 令 ， 按 下 回 车 键 。 显 示 如 图 12.3 
所 示 。 
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12.3 “netstat -an” 命 令 窗口 


3. netstat -bn 


所 谓 连接 的 宿主 是 指 网 络 连接 对 应 的 应 用 程序 或 服务 。 通 常情 况 下 , 仅 赁 开放 端口 是 很 难 
确认 其 安全 与 否 的 , 发 现 可 口 之 后 , 首先 要 做 的 就 是 确认 使 用 这 些 已 经 打开 的 端口 的 应 用 
程序 是 哪个 , 然后 进一步 确认 该 程序 是 否 为 系统 程序 ， 如 果 不 能 确认 ， 则 可 能 是 木马 或 其 他 非 
法 程序 。 

在 “管理 员 : 命令 提示 符 ” 窗 口中 ,输入 “netstat -bn” 命 令 , 按 下 回 车 键 。 显示 如 图 12.4 
所 示 。 


SE:| 
| 


12.4 “netstat -bn” 命令 窗口 


提示 “CLOSE_WAIT 表示 可 以 等 待 足够 的 时 间 以 确保 远程 TCP 接收 到 和 连接 中 断 请 求 的 
\ 沪 确认。 


在 命令 执行 结果 中 ， 显 示 了 当前 活动 的 每 个 连接 都 是 由 哪些 程序 创建 的 ， 本 例 中 端口 
49256、49258、49259、49260、49261 以 及 49263 都 是 由 iexplore.exe 程序 打开 的 ， 均 被 用 于 
访问 外 网 的 Web 服务 器 ， 而 49262 是 从 本 地 用 户 发 来 的 连接 中 断 请 求 。 如 果 在 结果 中 发 现 计 
算 机 打开 了 可 疑 的 端口 , 就 可 以 使 用 该 命令 查看 它 调用 了 哪些 组 件 , 然后 再 检查 各 组 件 的 创建 
时 间 和 修改 时 间 ， 如 果 发 现 异常 ， 就 可 能 是 中 了 木马 。 
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12.3.2 ”端口 查询 工具 一 一 PortQry 


Portqry.exe 是 Windows Support Tools 中 的 一 个 实用 命令 行 工具 ， 其 英文 全 称 为 PortQry 
Command Line Port Scanner。PortQry 可 以 报告 本 地 计算 机 或 远程 计算 机 上 ， 目 标 TCP 端口 和 
用 户 数据 报 协议 (UDP) 端口 的 状态 。Windows 2000/XP/2003 用 户 ， 可 以 从 系统 安装 光盘 中 
的 支持 工具 包 中 获得 ， 路 径 为 : X:\SUPPORT\TOOLS\SUPPORT.CAB。Windows Vita/2008 用 
户 则 可 以 登录 微软 网 站 下 载 该 工具 ， 网 址 为 : http://download.microsoft.com/download/0/d/9/ 
0d9d81lcf-4ef2-4aa5-8cea-95$a93See09c9/PortQryV2.exe。 


1. PortQry 2.0 版 的 特性 


PortQry 的 最 新 版 本 为 2.0， 相 对 于 之 前 的 PortQry 1.22 而 言 ， 可 以 支持 的 通信 协议 更 加 丰 
富 了 ，PortQry 2.0 可 以 准确 地 确定 是 否 打开 了 比 PortQry 1.22 可 以 打开 的 UDP 端口 更 多 的 端 
口 。PortQry 2.0 支持 以 下 会 话 层 和 应 用 层 协议 : 

轻 量 目录 访问 协议 (LDAP)。 通 过 使 用 TCP 和 UDP，PortQry 可 以 发 送 LDAP 查询 并 
正确 解释 LDAP 服务 器 对 该 查询 的 响应 。PortQry 对 LDAP 服务 器 的 响应 进行 分 析 、 格 
式 设置 ， 然 后 将 其 返回 给 用 户 ; 
远程 过 程 调用 (RPC)。 通 过 使 用 TCP 和 UDP， PortQry 可 以 发 送 RPC 查询 并 正确 解释 
对 该 查询 的 响应 。 该 查询 返回 〈 转 储 ) 当前 使 用 RPC 终结 点 映射 程序 注册 的 所 有 终结 
点 。PortQry 对 RPC 终结 点 映射 程序 的 响应 进行 分 析 、 格式 设置 ,然后 将 其 返回 给 用 户 ; 
域名 系统 (DNS)。 通 过 使 用 TCP 和 UDP，PortQry 可 以 发 送 格式 正确 的 DNS 查询 ， 
DNS 服务 器 是 否 返 回 和 否定 响应 并 不 重要 ， 任 何 响应 都 指示 该 端口 正在 监听 ; 

NetBIOS 名 称 服 务 。 默 认 情 况 下 ，NetBIOS 名 称 服 务 监 听 UDP 端口 137。 当 PortQry 确 
定 此 端口 为 监听 还 是 筛选 时 ，PortQry 执行 相关 操作 以 确定 该 端口 是 否 确实 正在 监听 。 例 
如 , 如果 正在 运行 PortQry 的 计算 机 上 的 NetBIOS 可 用 , PortQry 会 将 NetBIOS 适配器 状 
态 查询 发 送 给 目标 计算 机 ; 如 果 目 标 计算 机 对 此 查询 作出 响应 ，PortQry 报告 目标 端口 为 
监听 ,然后 将 目标 计算 机 的 MAC 地 址 返回 给 用 户 ; 如 果 正 在 运行 PortQry 的 计算 机 上 的 
NetBIOS 不 可 用 ，PortQry 不 会 尝试 将 NetBIOS 适配器 状态 查询 发 送 给 目标 计算 机 ; 
简单 网 络 管理 协议 (SNMP)。SNMP 支持 是 PortQry 2.0 中 的 新 增 特性 。 默 认 情 况 下 ， 
SNMP 服务 监听 UDP 端口 161。 为 了 确定 端口 161 是 否 正在 监听 ，PortQry 发 送 SNMP 
服务 可 以 接受 的 格式 的 查询 。SNMP 服务 是 使 用 社区 名 称 或 字符 串 配置 的 ,必须 知道 该 
社区 名 称 或 字符 串 才 能 获取 服务 器 的 响应 。 使 用 PortQry 可 以 在 查询 此 端口 时 指定 
SNMP 社区 名 称 ; 

Internet Security and Acceleration Server (ISA)。ISA Server 支持 是 PortQry 2.0 中 的 新 增 
功能 。 默 认 情况 下 ，ISA Server 使 用 TCP 端口 1745 和 UDP 端口 1745 与 Winsock 代理 
客户 端 和 防火 墙 客户 端 通信 。 安 装 了 Winsock 代理 客户 端 程序 或 防火 墙 客户 端 程序 的 
计算 机 ， 使 用 这 些 端口 从 ISA Server 请 求 服务 和 下 载 配 置信 息 。 为 了 确定 端口 是 否 正在 
监听 ，PortQry 发 送 ISA Server 可 以 接受 的 格式 的 查询 ; 
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得 SQL Server 2000 命名 实例 。SQL Server 2000 支持 是 PortQry 2.0 中 的 新 增 功能 。 PortQry 查 
询 UDP 端口 1434 以 查询 正在 SQL Server 2000 计算 机 上 运行 的 所 有 SQL Server 命名 实例 。 
PortQry 发 送 SQL Server 2000 可 以 接受 的 格式 的 查询 ， 以 确定 此 端口 是 否 正在 监听 ; 

日 常 文件 传输 协议 (TFTP)。TFTP 支持 是 PortQry 2.0 中 的 新 增 功能 。 默 认 情 况 下 , TFTP 
服务 器 监听 UDP 端口 69。PortQry 发 送 TFTP 服务 器 可 以 接受 的 格式 的 查询 ， 以 确定 
此 端口 是 否 正在 监听 ; 

四 第 二 层 隧道 协议 (L2TP)。L2TP 支持 是 PortQry 2.0 中 的 新 增 功能 。 路 由 选择 和 远程 访 
问 服务 器 以 及 其 他 VPN 服务 器 监听 UDP 端口 1701， 以 进行 入 站 L2TP 连接 。PortQry 
发 送 VPN 服务 器 可 以 接受 的 格式 的 查询 ， 以 确定 此 端口 是 否 正在 监听 。 


2. PortQry 概述 


PortQry 的 安装 非常 简单 ， 下 载 或 提取 之 后 直接 运行 即 可 。 安 装 完 成 后 ， 打 开 命 令 提 示 符 
， 并 转 至 PortQry 的 安装 目录 ， 即 可 执行 各 种 查询 命令 。PortQry 提供 如 下 三 种 查询 模式 ， 


在 不 同 的 模式 下 ， 可 以 使 用 不 同 的 命令 行 参数 ， 实 现 相应 的 查询 功能 : 


日 命令 行 查询 模式 : portqry -n name to_query [-options] 
交互 模式 : portqry -i [-n name to_query] [-options] 
@ 本 地 模式 : portqry -local | -wpid pid| -wport port [-options] 


(1 ) 命令 行 查询 模式 
简单 查询 模式 下 PortQry 命令 语法 格式 如 下 : 


portqry -n name to query [-pprotocol] [-e | -r | -oendpoint(s)] [-q] [-11ogfile] 


[-sp source port] [-s1] [-cn SNMP community name] 


-n name to_query 一 一 使 用 此 参数 指定 目标 计算 机 名 称 ， 此 参数 是 必须 的 。 可 以 指定 主机 


名 称 或 主机 IP 地 址 。 但 是 ， 主 机 名 称 或 瑟 地 址 中 不 能 包括 空格 。PortQry 将 主机 名 称 解 析 为 
耳 地 址 。 如 果 PortQry 无 法 将 主机 名 称 解析 为 耳 地 址 ， 此 工具 会 报告 错误 ， 并 随后 退出 。 如 
果 输 入 IP 地 址 ，PortQry 将 其 解析 为 主机 名 称 。 如 果 解 析 不 成 功 ，PortQry 会 报告 错误 ， 但 仍 
继续 处 理 命令 。 
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该 模式 下 的 可 选 参 数 包括 : 

mm -p protocol 一 一 指定 用 于 连接 目标 计算 机 上 目标 端口 的 端口 或 协议 的 类 型 。 如 果 不 指定 
协议 ，PortQry 使 用 TCP 作为 协议 。Protocol 的 有 效 参数 为 TCP、UDP 或 BOTH ( 即 同 
时 包含 TCP 和 UDP)。 

 -e endpoint(s) 一 一 此 参数 用 于 指定 目标 计算 机 上 的 终结 点 (或 端口 号 )。 它 必须 是 介 于 1 
和 65535 (包括 1 和 65535) 之 间 的 有 效 端口 号 。 不 能 将 此 参数 与 -o 或 了 参数 一 起 使 用 。 
如 果 未 指定 端口 号 ，PortQry 将 查询 端口 80。 

和 -0 endpoint(s) 一 一 此 参数 用 于 指定 按 特定 顺序 查询 的 一 定数 量 的 端口 。 不 能 将 此 选项 与 
-e 参数 或 参数 一 起 使 用 。 使 用 此 参数 时 ,要 使 用 去 号 分 隔 端 口号 。 可 以 按 任意 顺序 输 
入 端口 号 。 但 是 ， 端 口号 和 逗号 分 隔 符 之 间 不 能 留 有 空格 。 
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和 -T start port;end port 一 一 此 参数 用 于 指定 要 按 先后 顺序 查询 的 端口 号 的 范围 。 不 能 将 此 
选项 与 -e 参数 或 -0 参数 一 起 使 用 。 使 用 此 参数 时 ， 可 以 使 用 分 号 分 隔 起 始 端口 号 和 终 
止 端口 号 。 指 定 的 起 始 端口 要 小 于 终止 端口 。 另 外 ， 端 口号 和 分 号 之 间 不 能 有 空格 。 使 
用 此 参数 时 ， 不 查询 RPC 终结 点 映射 程序 。 

 -q 一 一 使 用 此 参数 ， 可 使 PortQry 取消 除 错误 信息 外 的 所 有 屏幕 输出 。 在 配置 PortQry 
以 便 在 批 处 理 文件 中 使 用 时 ,此 参数 尤其 有 用 。 根 据 端口 的 状态 ,此 参数 的 返回 值 也 会 
有 所 不 同 。 如 果 目 标 端口 是 监听 ， 则 返回 0; 如 果 目 标 端口 是 未 监听 ， 则 返回 1; 如 果 
目标 端口 为 监听 或 筛选 ， 则 返回 2。 


注意 ”只 能 将 此 参数 与 -e 参数 一 起 使 用 。 不 能 将 此 参数 与 -0 参数 或 参数 一 起 使 用 。 此 
得 外 ， 将 -p 参数 的 值 设置 为 Both 时 ， 也 不 能 将 此 参数 与 -p 参数 一 起 使 用 。 将 -q 参数 
与 “-1logfile” 参 数 一 起 使 用 时 ，PortQry 将 覆盖 具有 相同 名 称 的 现 有 日 志文 件 。 


-] logfile 一 一 此 参数 用 于 指定 记录 PortQry 生成 的 输出 的 日 志文 件 。 使 用 此 参数 时 ， 请 指 
定 文件 名 和 文件 扩展 名 。 不 能 在 日 志文 件 名 中 输入 空格 。 在 PortQry 运行 的 文件 夹 中 创建 日 志 
文件 。PortQry 以 文本 格式 生成 日 志文 件 输出 。 如 果 存 在 具有 相同 名 称 的 现 有 日 志文 件 ， 运 行 
PortQry 命令 时 系统 将 提示 您 覆盖 此 日 志文 件 。 

-sp source_port 一 一 使 用 此 参数 ， 可 以 指定 连接 到 目标 计算 机 上 指定 的 TCP 和 UDP 端口 
时 要 使 用 的 初始 源 端口 。 此 功能 有 助 于 测试 筛选 端口 基于 其 源 端口 的 防火 墙 或 路 由 器 规则 。 

-s 一 一 使 用 此 参数 将 导致 PortQry 等 待 UDP 查询 响应 的 时 间 更 长 。 由 于 UDP 无 连接 协议 ， 
所 以 PortQry 无 法 确定 端口 是 响应 缓慢 还 是 端口 被 筛选 。 在 PortQry 确定 端口 是 未 监听 还 是 得 
选 之 前 ， 此 选项 使 PortQry 等 待 UDP 端口 响应 的 时 间 加 倍 。 在 速度 较 慢 或 不 稳定 的 网 络 链接 
中 查询 UDP 端口 时 ， 请 使 用 此 选项 。 

-cn SNMP community name 一 一 使 用 此 参数 ， 可 以 指定 在 发 送 SNMP 查询 时 要 使 用 的 域名 ， 但 
是 必须 用 感叹 号 将 域名 字符 串 括 起 来 。 如 果 不 对 SNMP 监听 的 某 个 端口 进行 查询 ， 将 忽略 此 参数 。 


(2) 交互 模式 


使 用 PortQry 1.22 版 , 用户 可 以 从 命令 提示 窗口 的 命令 行 对 端口 进行 查询 。 当 解决 计算 机 
间 的 连接 问题 时 ， 可 能 需要 输入 许多 重复 的 命令 。 在 PortQry 2.0 中 ， 用 户 可 以 用 此 方式 运行 
命令 , 但 是 PortQry 2.0 版 还 具有 交互 模式 。 该 交互 模式 类 似 于 Nslookup DNS 实用 工具 或 
Nblookup WINS 实用 工具 的 交互 功能 。 

交互 模式 下 PortQry 命令 语法 格式 如 下 : 


portqry -i [-n name to query] [-options] 

参数 的 主要 作用 就 是 进入 交互 模式 下 ， 是 必须 的 。 该 模式 下 的 可 用 参数 包括 : 

phelp 或 ?p 一 一 显示 本 地 主机 经 常 使 用 的 端口 。 

node NAME 显示 默认 主机 的 也 地址 或 计算 机 名 。 

query 或 q 一 一 向 默认 主机 发 送 查询 命令 。 

set OPTION=value 一 一 重新 设置 要 查询 的 目标 参数 , 包括 端口 号 、 协议 等 。 其 中 , OPTION 
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代表 如 下 参数 : 


all 一 一 显示 当前 默认 设置 。 

port=n 一 一 设置 要 查询 的 端口 号 。 

sport=n 一 一 设置 源 端口 号 。 

protocol-p 一 一 设置 查询 端口 的 通信 协议 类 型 ，TCP、UDP 或 者 两 者 均 包 括 。 

cn=string 一 一 指定 在 发 送 SNMP 查询 时 要 使 用 的 社区 字符 串 或 社区 名 称 。 

mr 一 一 使 用 反 向 名 称 查询 ， 此 时 PortQry 不 查询 返回 主机 名 的 他 地 址 ，PortQry 立即 查询 
目标 端口 。 

sl 一 一 使 用 慢 速 连接 ， 延 长 UDP 查询 的 返回 时 间 。 


(3 ) 本 地 模式 


PortQry 的 本 地 模式 操作 旨 在 提供 有 关 运 行 PortQry 的 本 地 计算 机 上 的 TCP 端口 和 UDP 
端口 的 详细 信息 。 该 模式 下 PortQry 命令 语法 格式 如 下 : 


portqry -local | -wpid pid | -wport port [-wt seconds] [-1 logfile] [-v] 


注意 “local、-wpid pid 和 -wport port 是 PortQry 的 本 地 模式 提供 的 三 种 基本 命令 , 只 能 任 
选 其 一 ， 但 该 参数 是 必需 的 。 


各 参数 的 具体 功能 如 下 : 


-local 一 一 尝试 枚 举 本 地 计算 机 上 当前 所 有 活动 的 TCP 和 UDP 端口 映射 。 该 输出 与 
netstat.exe -an 命令 生成 的 输出 类 似 。 
-wpid pid 一 一 监视 指定 的 进程 ID (PID) 是 否 发 生变 化 。 这 些 变化 可 能 包括 到 端口 的 连 
接 数 的 增 减 或 任 一 现 有 连接 的 连接 状态 的 变化 。 此 命令 支持 的 可 选 参数 与 监视 端口 命令 支持 
的 相同 。 
-wport port 一 一 监视 某 个 指定 端口 是 否 发 生变 化 。 这 些 变化 可 能 包括 到 端口 的 连接 数 的 增 
减 或 任 一 现 有 连接 的 连接 状态 的 变化 。 
-wport port 命令 下 还 包括 如 下 可 选 参数 ， 这 些 可 选 参数 不 可 应 用 于 另外 两 种 命令 提示 符 下 : 
-Vv 一 一 获取 指定 端口 的 其 他 状态 信息 。 
-wt 一 一 配置 PortQry 自动 检查 指定 端口 状态 变化 的 时 间 间 隔 ,可 选 范围 为 1~1 200 秒 。 系 
统 默认 为 60 秒 。 
-] 一 一 记录 监视 端口 命令 的 输出 结果 。 
(4) 返回 端口 状态 的 方式 
Portqry.exe 通过 以 下 3 种 不 同方 式 报告 系统 端口 的 状态 : 
监听 。 茶 些 进程 正在 监听 所 选 计算 机 系统 的 端口 ，Portqry.exe 收 到 该 端口 的 响应 。 
未 监听 。 没 有 进程 监听 目标 系统 上 的 目标 端口 。Portqry.exe 收 到 目标 UDP 端口 发 回 的 
“Destination Unreachable-Port Unreachable”( 无 法 达到 目标 -无 法 达到 端口 ) 消息 。 或 者 ， 
如 果 目 标 端口 是 TCP 端口 ，Portqry 则 收 到 已 设置 重 置 标志 的 TCP 确认 数据 包 。 
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能 在 监听 端口 ， 也 可 能 不 在 监听 端口 。 黑 认 情况 下 ,在 报告 目标 端口 被 筛选 之 前 ， 


中 


筛选 。 目 标 计算 机 系统 的 端口 正在 被 筛选 。Portqry.exe 没有 收 到 该 端口 的 响应 。 进 程 可 


将 对 


TCP 端口 查询 三 次 ， 对 UDP 端口 查询 一 次 。Portqry.exe 可 查询 单个 端口 、 端 口 的 顺序 


列表 或 多 个 连续 的 端口 。 
3. PortQry 命令 行 模式 实例 
(1) LDAP 查询 并 正确 解释 LDAP 服务 器 对 该 查询 的 响应 
在 命令 提示 符 下 ， 输 入 如 下 命令 : 
portqry -n coolpen.net -p udp -e 389 


按 Enter 键 执行 命令 ， 显 示 如 图 12.5 所 示 结 果 。 


): LISTENING or FILTERED 


图 12.5 LDAP 查询 并 正确 解释 LDAP 服务 器 对 该 查询 的 响应 


通过 使 用 TCP 和 UDP，PortQry 可 以 发 送 LDAP 查询 并 正确 解释 LDAP 服务 器 对 该 查询 


的 响应 。PortQry 对 LDAP 服务 器 的 响应 进行 分 析 、 格 式 设置 ， 然 后 将 其 返回 给 用 户 。 
执行 过 程 如 下 


PortQry 使 用 *%SYSTEMROOT%\system32\drivers\Etc ”文件 夹 中 的 Services 文件 解析 UDP 
端口 389。 如 果 PortQry 将 该 端口 解析 为 LDAP 服务 ，PortQry 会 将 无 格式 的 用 户 数据 包 发 送 
到 目标 计算 机 上 的 UDP 端口 389。 如 果 PortQry 没有 收 到 目标 端口 的 响应 ， 原 因 是 LDAP 服 


务 只 响应 格式 正确 的 LDAP 查询 。 


使 用 该 命令 ，PortQry 将 报告 端口 是 监听 或 筛选 。PortQry 将 格式 正确 的 LDAP 查询 发 送 
给 目标 计算 机 上 的 UDP 端口 389。 如果 PortQry 收 到 对 此 查询 的 响应 , 它 会 将 整个 查询 返回 给 
用 户 ， 并 报告 端口 是 监听 。 如 果 PortQry 没有 收 到 对 此 查询 的 响应 ， 将 报告 该 端口 是 筛选 。 
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(2 ) 发 送 RPC 查询 并 正确 解释 对 该 查询 的 响应 
在 命令 提示 符 下 ， 输 入 如 下 命令 : 
portqry -n coolpen.net -p udp -e 135 


按 Enter 键 执行 命令 ， 运 行 后 的 结果 显示 如 图 12.6 所 示 。 


): NOT LISTENING 


图 12.6 发 送 RPC 查询 并 正确 解释 对 该 查询 的 响应 


通过 使 用 TCP 和 UDP，PortQry 可 以 发 送 RPC 查询 并 正确 解释 对 该 查询 的 响应 。 该 查询 
返回 〈 转 储 ) 当前 使 用 RPC 终结 点 映射 程序 注册 的 所 有 终结 点 。PortQry 对 RPC 终结 点 映射 
旦 序 的 响应 进行 分 析 、 格 式 设置 ， 然 后 将 其 返回 给 用 户 。 

PortQry 执行 以 下 操作 : 


PortQry 使 用 “%SYSTEMROOT%\System32\Drivers\Etc ”文件 夹 中 的 Services 文件 解析 
UDP 端口 135。 如 果 PortQry 将 该 端口 解析 为 RPC 终结 点 映射 程序 服务 (Epmap)，PortQry 
会 将 无 格式 的 用 户 数据 包 发 送 给 目标 计算 机 上 的 UDP 端口 135。 如 果 PortQry 没有 收 到 目标 端 
口 的 响应 ， 原 因 可 能 是 RPC 终结 点 映射 程序 服务 ， 只 响应 格式 正确 的 RPC 查询 。 

使 用 该 命令 ，PortQry 将 报告 端口 是 监听 或 筛选 。PortQry 将 格式 正确 的 RPC 查询 发 送 给 
目标 计算 机 上 的 UDP 端口 135， 并 返回 当前 使 用 RPC 终结 点 映射 程序 注册 的 所 有 终结 点 。 如 
果 PortQry 收 到 对 此 查询 的 响应 ，PortQry 会 将 整个 响应 返回 给 用 户 并 报告 该 端口 为 监听 。 如 
果 PortQry 没有 收 到 对 此 查询 的 响应 ， 则 将 报告 端口 筛选 。 

(3 ) NetBIOS 名 称 服务 监听 UDP 端口 137 


在 命令 提示 符 下 ， 输 入 如 下 命令 : 

portqry -n coolpen.net -p udp -e 137 

按 Enter 键 执行 命令 ,运行 后 的 结果 显示 如 图 12.7 所 示 。 默认 情况 下 ，NetBIOS 名 称 服务 
监听 UDP 端口 137。 
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图 12.7 查看 NetBIOS 名 称 服 务 监 听 UDP 端口 137 
(4) 查看 远程 主机 的 445 端口 
借助 Portqry 命令 , 还 可 以 查看 远程 主机 的 某 个 端口 工作 状态 , 此 时 需要 使 用 “Portqry -n” 
模式 。 例 如 ， 在 命令 提示 符 窗 口中 ， 转 至 Portqry 所 在 目录 下 ， 输 入 如 下 命令 ; 
Portqry -n hstjl-pc -e 445 
按 Enter 键 执行 命令 ， 显 示 如 图 12.8 所 示 运 行 结 


rtqry -n hstjl-pc -e 445 


g target systel 


httenpting to resolve nane to IP address.. 


service): LISTENING 


图 12.8 查看 远程 主机 端口 状态 
运行 结果 显示 目标 计算 机 系统 的 445 端口 ， 目 前 正 处 于 LISTENING (监听 ) 状态 。 


(5) 查询 多 个 指定 端口 并 输出 到 日 志 


在 命令 提示 符 下 ， 输 入 如 下 命令 : 


Bortqry = 211.82.218.229 =p' tep. =9,. 143.110,25 =1 portqry:log 


按 Enter 键 执行 命令 ， 显 示 如 图 12.9 所 示 运 行 结 
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图 12.9 查询 多 个 端口 状态 
首先 ，portqry 命令 会 尝试 将 指定 他 地 址 解析 为 主机 名 ， 然 后 查询 所 指定 的 主机 上 的 TCP 端 
口 143、110 和 25( 按 该 顺序 查询 ), 最 后 ,该 命令 还 会 创建 一 个 日 志文 件 (文件 名 为 Portqrylog)， 
并 将 所 有 运行 结果 输出 的 日 志 。 用 户 也 可 以 在 资源 管理 器 中 ， 打 开 该 日 志 ， 如 图 12.10 所 示 。 
如 果 需 要 查询 的 端口 数量 较 多 ， 且 彼此 连续 , 则 可 以 通过 直接 指定 端口 号 段 的 方式 , 查询 
多 个 连续 端口 状态 。 例 如 ， 在 命令 提示 符 下 ， 输 入 如 下 命令 : 
portqry -n coolpen.net -r 135:139 


按 Enter 键 执行 命令 ， 显 示 如 图 12.11 所 示 结 果 
在 此 过 程 中 ，portqry 会 依次 对 端口 135~139 进行 扫描 ， 并 返回 其 状态 信息 。 


图 12.10 查看 输出 的 日 志文 件 图 12.11 扫描 端口 号 段 


(6 ) 借助 域名 实现 SNMP 查询 

通过 SNMP 查询 管理 员 可 以 确定 目标 计算 机 的 SNMP 服务 使 用 的 端口 ,是 否 处 于 监听 状 
态 。 默 认 情况 下 ，SNMP 服务 监听 UDP 端口 161。 在 命令 提示 符 下 ， 输 入 如 下 命令 : 

portqry -n www.coolpen.org -p udp -e 161 -cn !coolpen! 

按 Enter 键 执行 命令 ,显示 如 图 12.12 所 示 结 果 。 本 次 查询 过 程 中 使 用 的 SNMP 字符 串 为 


coolpen 。 
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图 12.12 查询 SNMP 端口 的 监听 状态 
(7) 编译 PortQry 批 处 理 文件 


当 需 要 查询 的 端口 数量 较 多 时 ，1 需要 等 待 的 时 间 会 比较 长 ， 返 回 的 结果 信息 也 会 非常 多 ， 
而 命令 提示 符 窗口 的 信息 容量 是 有 限 的 ， 即 信息 量 过 大 时 , 无 法 显示 较 早 的 信息 。 此 时 ， 用户 
可 以 在 安静 模式 下 ， 执 行 对 指定 端口 的 状态 查询 ， 只 需 编译 一 个 Portqry 批 处 理 文件 即 可 。 新 
建 一 个 空白 记事 本 文件 ， 输 入 如 下 信息 ， 并 保存 为 .bat 文件 : 

:Top 

portqry -n 127.0.0.1 -e 135 -p tcp -q -1 bendi135.txt 

if errorlevel = 2 goto filtered 


1 goto failed 
0 goto success 


if errorlevel 
if errorlevel 


goto end 
:filtered 
Echo Port is listening or filtered 0 相 式 人 查看 MW 如 和 人 0 Ee 
goto end eg 时 
:Fri Moy 14 10:41:55 2008 
:failed 0.0.1 ~ 135 了 to ~q -1 bendil35. txt 
Echo Port is not listening ee ee 
Goto end 二 六 
get systen called: 
:success Stteampting to recolys IP addrecs to a name 
Echo Port is listening 
IP address resolved to liuzkh. coolpen net 
goto end 
:end 
需要 执行 查询 时 , 用 户 无 需 打开 命令 提 
i oie PoriAry develcped ty Tin Fains 
示 符 窗口 ， 只 需 在 资源 管理 器 中 双击 创建 的 下 二 


批 处 理 文件 ， 即 可 开始 执行 文件 中 指定 的 查 
询 命令 。 查 询 过 程 中 ， 用 户 无 需 任何 操作 ， 
窗口 中 也 不 会 显示 任何 过 程 信息 ， 可 以 直接 将 执行 窗口 最 小 化 。 完 成 后 ，portqry 会 自动 将 结果 信 
息 保存 到 指定 的 日 志文 件 中 。 打 开 该 文件 ， 即 可 查看 详细 执行 过 程 ， 如 图 12.13 所 示 。 
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4. PortQry 交互 模式 实例 

(1) 进入 PortQry 交互 模式 

交互 模式 是 PortQry 的 新 增 功能 之 一 ， 也 是 PortQry 的 一 个 特殊 子 环境 ， 主 要 用 于 设置 
PortQry 命令 的 相关 参数 ， 例 如 ， 是 否 自动 解析 名 称 、 默 认 SNMP 字符 串 值 等 。 在 命令 提示 符 
下 ， 转 入 PortQry 命令 所 在 目录 ， 输 入 如 下 命令 : 

Portqry-i 

按 Enter 键 执行 命令 ， 即 可 进入 交互 模式 ， 显 示 如 图 12.14 所 示 结 果 。 用 户 可 以 使 用 “?” 
或 “help” 命 令 ， 查 看 该 模式 下 可 以 使 用 的 命令 及 选项 。 


图 12.14 进入 交互 模式 
注意 
克 使 用 exit 或 quit 命令 均 可 退出 PortQry 交互 模式 。 
J 
(2 ) 查看 当前 PortQry 命令 的 默认 设置 

在 PortQry 交互 模式 下 输入 如 下 命令 : 


set all 


按 Enter 键 执行 命令 ， 显 示 如 图 12.15 所 示 结 果 。 


12.15 查看 PortQry 命令 的 默认 设置 
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从 结果 中 可 以 看 出 ，PortQry 命令 默认 查询 的 主机 为 127.0.0.1， 即 本 地 计算 机 ; 默认 查询 的 端 
口 协议 为 TCP; 默认 查询 的 端口 为 80; 自动 执行 解析 功能 ， 即 如 果 输 入 主机 名 或 域名 ， 执 行 命令 时 
先 解析 为 卫 地 址 ， 反 之 亦 然 ， 默认 的 SNMP 字符 串 值 为 public。 

(3 ) 更 改 默认 查询 主机 和 端口 协议 

交互 模式 下 ， 可 以 修改 PortQry 的 各 项 默认 参数 。 例 如 ， 在 交互 模式 下 ， 分 别 
输入 如 下 命令 


node 211.82.218.229 
set protocol=both 


按 Enter 键 执行 命令 ， 修 改 默认 参数 。 为 验证 命令 效果 ， 可 以 使 用 set all 命令 查看 ， 如 图 
12.16 所 示 。 


图 12.16 “修改 默认 查询 主机 和 端口 协议 
(4) 快速 查询 DNS 服务 对 应 端口 状态 
在 交互 模式 下 ， 除 可 以 修改 Portqry 命令 的 各 项 参数 之 外 ， 还 可 以 执行 多 种 常规 端口 的 快速 查 
询 ， 如 FTP 服务 对 应 的 21、20 端口 ， DNS 服务 使 用 的 53 端口 等 。 在 交互 模式 下 ， 输 入 如 下 命令 : 
q dns 


按 Enter 键 执行 命令 ， 显 示 如 图 12.17 所 示 结果 。 需 要 注意 的 是 ， 此 时 都 是 按照 Portqry 
命令 的 默认 设置 执行 命令 的 ， 即 目标 计算 机 为 默认 主机 。 


3 LISTENING 


图 12.17 快速 查询 端口 状态 
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5. PortQry 本 地 模式 实例 


(1 ) 查询 本 地 所 有 活动 端口 

查看 本 地 计算 机 端口 状态 及 开放 情况 ， 应 使 用 “portqry” 命 令 的 local 工作 模式 。 打 开 命 
令 提示 符 窗口 ， 转 至 Portqry 所 在 目录 下 ， 输 入 如 下 命令 : 

portqry -local 


按 Enter 键 执行 命令 ， 显 示 如 图 12.18 所 示 结 果 。 


ne 
LISTENING 


图 12.18 本 地 计算 机 端口 开放 情况 
执行 结果 中 , 显示 目前 本 地 主机 上 处 于 活动 状态 的 端口 数量 ,及 详细 连接 信息 ,包括 端口 
本 地 也 地址 、 状 态 、 远 程 计算 机 的 下 地 址 和 端口 号 等 。 

(2) 查询 本 地 指定 端口 状态 
监听 本 地 系统 端口 状态 操作 , 在 Windows Vista 和 Windows Server 2008 系统 中 是 无 法 实现 


Apr 


的 ， 该 命令 只 能 应 用 于 Windows 2000/XP/2003 系统 。 在 命令 提示 符 窗口 中 ， 输 入 如 下 命令 


di 


portqry -wport 139 


按 Enter 键 执行 命令 ， 显 示 如 图 12.19 所 示 结 果 。 


12.19 监听 本 地 计算 机 的 139 端口 
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默认 情况 下 ， 执 行 上 述 命令 后 ，portqry 将 持续 监听 139 端口 的 工作 情况 ， 并 且 每 60 秒 钟 
刷新 一 次 结果 ， 直 至 用 户 按 下 “ESC” 键 ， 结 束 监听 为 止 。 在 此 过 程 中 ， 监 听 结 果 将 随 着 端口 
状态 的 变化 而 自动 记录 。 

(3 ) 每 隔 2 秒 钟 查询 一 次 445 端口 的 状态 

在 命令 提示 符 下 ， 输 入 如 下 命令 : 

portqry -wport 445 -wt 2 -1 share.txt 

按 Enter 键 执行 命令 ， 即 可 开始 将 监视 结果 输出 到 日 志文 件 中 ， 并 且 每 隔 2 秒 钟 ， 自 动 刷 
新 一 次 。 需 要 停止 时 ， 按 下 ESC 键 即 可 。 在 资源 管理 器 中 ， 打 开 日 志文 件 即 可 查看 详细 信息 ， 
如 图 12.20 所 示 。 


tt 
ET TREE IT 


Fri Nov 14 15:28:22 2809 


State 


P 
站 TEP AN5 LISTENINS 
， TCP Nns ESTRBLISHED 
， TOP 4029 ESTABLISHED 
和 TCP 139 LISTEMING 
0 TCP N45 ESTABLISHED 
an UDP nS 

UDP 197 2 227 

， UDP 138 211.82-218-227 

Port statistics 

Top nappings: 5 


UDP mappings: 3 


cp ports in a LISTENINE state: 2 0 机 
op ports in a ESTABLISHED state: 3 -68-0 


HE 
ESTABLISHED 

LISTENING [人 

ESTABLISINED 211.82-218.229:52572 


图 12.20 每 隔 2 秒 钟 查询 一 次 445 端口 的 状态 
(4) 监视 指定 的 进程 ID (PID ) 变化 情况 
在 命令 提示 符 下 输入 如 下 命令 : 


portqry -wpid 468 -wt 30 -1 pid.txt 


按 Enter 键 执行 命令 。 停 止 监视 后 ， 打 开 日 志文 件 ， 显 示 如 图 12.21 所 示 结 果 。 
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pidtrt -名 宣 本 国电 x] 
ET TE TE 于 
= = 四 

ate 
LISTENINE 
LISTENING 
BE 

和 人 
Part statistics 
ep nappings: 2 
upp nappings: 

Te ports in a LISTENING state: 2 = 190.0%% 

System Date: Fri Nov 14 15355:98 2898 
PlD Port Local IP State 
68 TCP 89 -0.0.0 LISTENING 
no8 ICP 36997 127.0-0.1 LISTENING 
es。 TDP 1997 211,82.218.227 ESTABLISHED 
68 TCp 1998 211.82.218-227 CLOSE WAIT 
68 TCP 1191 211.82-218-227 CLOSE WAIT 
68 TCP 1192 218-227 CLOSE WAIT 
68 TCP 1189 218.227 CLOSE WAIT 
68 DP 0 
68 upP 1973 
em。 upP 1978 
8 Dp 1999 
ne8 UDP 19595 加 


图 12.21 显示 监视 PID 进程 的 变化 


利用 监视 PID 命令 ，PortQry 可 以 监视 指定 的 进程 ID (PID) 是 否 发 生变 化 ， 这 些 变化 包 
括 到 端口 的 连接 数 的 增 减 或 任 一 现 有 连接 的 连接 状态 的 变化 ,此 命令 支持 的 可 选 参数 与 监视 端 
口 命 令 支 持 的 相同 。 


12.3.3 ”借助 第 三 方 软件 查看 端口 


与 netstat 命令 类 似 ， 端 口 监视 类 软件 也 能 查看 本 机 打开 了 哪些 端口 ， 这 类 软件 非常 多 ， 
如 果 上 网 ， 以 TCPView 软件 为 例 ， 密 切 监 视 本 机 端口 连接 情况 ， 既 能 严防 非法 连接 ， 也 能 确 
保 网 络 安全 。 

TCPView 是 一 个 查看 端口 和 线程 的 小 工具 ， 只 要 木马 在 内 存 中 运行 ， 便 会 打开 某 个 端 
只 要 黑客 进入 主机 ， 就 会 有 新 的 线程 。 


01 下 载 、 安 装 并 运行 TCPView 软件 。 打 开 2 在 TCPView 窗口 中 ， 可 以 很 容易 看 出 某 个 端 

TCPView 窗口 ， 依 次 选择 “选项 ”一 “字体 ”命令 ， 口 是 什 么 程序 打开 的 。 用 户 可 以 通过 图 标 类 型 来 分 

设置 字体 大 小 ， 解 决 默认 字体 太 小 而 无 法 看 清 的 问 ” 别 哪些 是 正常 的 应 用 程序 打开 的 端口 。 对 于 系统 本 

题 ， 显 示 如 图 12.22 所 示 窗 口 。 身 打 开 的 端口 ， 由 于 一 般 用 户 并 不 太 熟悉 ， 可 以 通 
过 检查 线程 的 属性 来 判断 。 右 击 某 个 进程 ， 在 弹出 
的 快捷 菜单 中 选择 “进程 属性 ”命令 ， 显 示 如 图 
12.23 所 示 “ 属 性 ”对 话 框 。 
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Er 0 ED ET 


日 A 一 四 

二 和 属性 iexplore. exe: 1964 | 
| riesplore exe1964 UDP zj-200835371 “> 

be sexe628 TCP zmj-2008:49155 zmj-; TInternet Explorer 


xe616 TCP 
ee 1012 TCP 
svehost exe:1012 UDP 


Microsoft Corporation 


版 本 : 7.00. 6001. 18000 
梧 svchostexe1012 UDP 


本 svchostexe1012 UDPV6 路 径 : 

schon clo04 UDP FE 
ee Progran Files\Internet Explorer\iexplore. exe 
Dsvchost exe:l08+ UDP 命令 行 : 

Usvehost exe:1084 UDP > 
svchost exe1084 UDPV6 C:\Program Files\Internet Explorer\iexplore. exe 


svehost exe:l084 UDPV6 
svehost exe:l084 UDPV6 
本 wdosere :1084 UDPV6 


结束 得 加 


图 12.22 TCPView 窗口 图 12.23 “属性 ”对 话 框 


提示 如果 出 现 和 系统 程序 相似 的 名 字 , 文件 又 不 在 系统 目录 , 那么 这 些 程序 就 有 可 能 
\ 六 候 时 的 系统 程序 极 有 可 能 是 木马 。 


12.3.4 借助 第 三 方 软件 扫描 端口 


通常 情况 下 , 绝对 禁止 在 服务 器 上 运行 来 历 不 明 的 应 用 程序 ， 尤其 是 在 生产 环境 中 。 因 此 
些 常用 服务 器 管理 工具 都 是 基于 服务 器 /客户 端 工作 模式 的 。 SuperScan 是 基于 面向 连接 式 协 
议 的 TCP 端口 扫描 器 、pinger 和 主机 名 解析 器 。 针 对 任意 卫 地 址 范围 的 端口 扫描 和 任意 端口 
扫描 。 端口 检测 可 以 取得 目标 计算 机 提供 的 服务 , 同时 也 可 以 检测 目标 计算 机 是 否 有 木马 。 可 
以 看 看 端口 检测 的 具体 使 用 。 


1. 检测 目标 计算 机 的 所 有 端口 


如 果 检 测 的 时 候 没有 特定 的 目的 , 只 是 为 了 了 解 目 标 计算 机 的 一 些 情况 , 可 以 对 目标 计算 
机 的 所 有 端口 进行 检测 ， 但 是 一 般 不 提倡 这 种 检测 ， 原 因 有 以 下 几 种 : 


它 会 对 目标 计算 机 的 正常 运行 造成 一 定 影响 ,同时 ， 也 会 引起 目标 计算 机 的 警觉 ; 

到 扫描 时 间 很 长 ; 

昌 浪费 带宽 资源 ， 对 网 络 正常 运行 造成 影响 
01 在 IP 下 输入 起 始 和 终止 IP， 如 192.168.1.116。 在 扫描 类 型 下 选中 “所 有 端口 从 ” 单 选 按钮 ， 输 入 其 范 
国 ，1 一 65 535， 如 果 需 要 返回 计算 机 的 主机 名 ， 可 以 选中 “查询 计算 机 名 ” 复 选 框 ， 然 后 单 击 “开始 ” 
按钮 ， 开 始 对 一 台 目 标 计算 机 所 有 端口 进行 扫描 ， 如 图 12.24 所 示 。 
0 2 扫 拱 完成 以 后 ， 单 击 “ 全 部 展开 ”按钮 ， 可 以 看 到 扫 措 结果。 显示 如 图 12.25 所 示 。 
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MOM 5 


对 扫描 结果 的 描述 如 下 : 

@ 第 一 行 是 目标 计算 机 的 卫 和 主机 名 ; 

@ 第 二 行 开始 的 小 圆 点 是 扫描 的 计算 机 的 活动 端口 号 和 对 该 端口 的 解释 ; 
“活动 主机 ”显示 扫描 到 的 活动 主机 数量 ， 这 里 只 扫描 了 一 台 , 为 1; 
“已 开端 口 ” 显 示 目 标 计算 机 打开 的 端口 数 ， 这 里 是 10。 


2. 扫描 目标 计算 机 的 特定 端口 


大 多 数 时 候 不 需要 检测 所 有 端口 , 只 需 检 测 有 限 的 几 个 端口 就 可 以 了 , 主要 是 为 了 得 到 目 
标 计算 机 提供 的 服务 和 使 用 软件 的 安全 。 所 以 ， 可 以 根据 个 人 目的 的 不 同 来 检测 不 同 的 端口 ， 
如 : 检测 80 端口 、21 端口 以 及 23 端口 ， 即 使 是 攻击 ， 也 不 会 有 太 多 的 端口 检测 。 


01 单 击 “端口 设置 ” 按钮 ,打开 “编辑 端口 列表 ” 上 2 单 击 “ 保 存 ”按钮 , 显示 如 图 12.27 所 示 “Save 
界面 ， 在 “端口 选择 ”下 双击 需要 扫描 的 端口 ， 如 ”port listfle” 对 话 框 ， 输 入 文件 名 ， 如 “端口 1”。 单 
21、23 以 及 80 三 个 端口 ， 这 时 端口 前 面 会 有 一 个 “ 击 “ 确 定 ”按钮 ， 保 存 选 择 的 端口。 

“v ”的 标志 ， 如 图 12.26 所 示 。 


到 | 
ETTTTTT ET 
we |e 本 
Da 专 | 人 4 | 久 | [本 |] 
过 [ET 引 
be Ee— | 
3 遇 涪 En 划 
ET 
Oe e310 直 妇 " 国 [ 回 
又 人 名 四 : 贰 5 国 
0): ECEIE E 可 
六 和夫 全 ) EE 


图 12.27 “Save portlistfle” 对 话 框 


图 12.26 选择 端口 号 
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03 选择 保存 路 径 ， 继 续 单 击 “ 保 存 ” 按钮。 切换 
至 “编辑 端口 列表 ”界面 ， 单 击 “ 确 定 ”按钮 。 
04 在 “扫描 类 型 ”下 选中 “所 有 列表 中 选择 的 端 
口 ” 单 选 按钮 ， 单 击 “ 开 始 ”按钮 ， 对 特定 端口 进 
行 扫描 ， 如 图 12.28 所 示 。 


里 选择 端口 时 可 以 详细 了 解 端口 信息 ; 

里 选择 的 端口 可 以 自己 取 名 保存 ， 有 利于 再 次 使 用 ; 

里 可 以 根据 要 求 有 的 放 矢 地 扫描 目标 端口 ， 节 省 时 间 和 资源 ; 

里 根据 一 些 特定 端口 ,可 以 扫描 目标 计算 机 是 否 被 攻击 者 利用 ,或 者 打开 不 应 该 打开 的 服务 。 


12.4 关闭 端口 


通过 运行 端口 查看 工具 , 不 难 发 现 系统 中 的 许多 端口 默认 都 是 开启 的 , 为 了 确保 系统 和 网 
络 的 安全 ， 必 须 将 可 能 存在 安全 风险 的 端口 及 时 关闭 。 例 如 ， 最 常见 的 RPC 服务 的 TCP 端口 
135、139、445、593、1025 和 UDP 端口 123、137、138、445、1900， 以 及 远程 服务 访问 端 
口 3389 等 。 


12.4.1 关闭 常用 端口 


按照 默认 设置 安装 的 Windows Server 2008， 安 装 完成 后 会 自动 开放 许多 端口 ， 都 是 为 了 
满足 日 常 管理 和 维护 而 设置 的 , 但 是 对 系统 安全 却 是 一 种 无 形 的 隐患 , 如 共享 功能 开启 的 139、 
445 端口 等 。 为 此 ， 管 理 员 可 以 根据 需要 对 端口 进行 控制 。 

1. 关闭 23 端口 

23 端口 主要 用 于 Telnet (远程 登录 ) 服务 ， 是 Intemet 上 普遍 采用 的 登录 和 仿真 程序 。 利 
用 Telnet 服务 , 黑客 可 以 搜索 远程 登录 的 服务 , 扫描 操作 系统 的 类 型 。 对 系统 的 漏洞 进行 攻击 ， 
所 以 建议 关闭 23 端口 。 
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01 选择 “开始 ”一 “管理 了 0 2 在 右 侧 窗 格 中 双击 “Telnet” 选项 ,打开 如 图 
显示 如 图 12.29 所 示 “ 服 务 ”窗口 。 12.30 所 示 “Telnet 的 属性 (本 地 计算 机 ) ”对话 框 ， 
在 “启动 类 型 ”处 选择 “手动 ”选项 , 单 击 “ 停 止 ” 


按钮 ， 再 单 击 “确定 ”按钮 ， 完 成 设置 。 


lst hab 
Winaoraverata2evlatamr ae 
ED 
A 
失态。 已 人 上 

Ll Em 苦 志 对 La 


雪 从 此 处 局 5 那 尖 时 ， 您 可 撒 定 所 适用 的 启动 基 数 。 


Br 


Ce ]_w |_anwl| 
图 12.29 “服务 ”窗口 图 12.30 “Telnet 的 属性 (本 地 计算 机 ) ”对 话 框 


2. 关闭 135 端口 


通过 135 端口 ， 可 以 远程 随意 控制 计算 机 的 上 网 情况 , 包括 偷窥 上 网 账号 ,监控 浏览 内 容 
等 。 如 此 一 来 ， 开通 服务 器 的 135 网 络 端口 ， 很 有 可 能 招来 各 种 恶意 的 远程 攻击 ， 为 确保 网 络 
服务 器 的 安全 ， 关 闭 135 网 络 端口 是 很 有 必要 的 。 


01 选择 “开始 ”一 “运行 ” 命令， 打开 如 图 12.31 所 示 “ 运 行 ”对 话 框 ， 在 文本 框 中 输入 “dcomcnfg ” 命 
令 ， 单 击 “ 确 定 ”按钮 ， 打 开 “ 组 件 服务 ”窗口 。 

0 2 依次 选择 “控制 合 根 节 点 ”一 “组 件 服务 ”一 “计算 机 ”选项 ， 右 击 “ 我 的 电脑 ”选项 ， 选 择 快捷 菜单 

中 的 “属性 ”选项 ， 显 示 如 图 12.32 所 示 “ 我 的 电脑 属性 ”对 话 框 ， 选 择 “默认 属性 ”选项 卡 ， 取 消 

“在 此 计算 机 上 启用 分 布 式 COM (E) ” 复 选 框 。 


硬 
me 
i 二 | 


jel Emel a 
ED wm | enw) 
图 12.31 “运行 ”对 话 杠 图 12.32 “我 的 电脑 属性 ”对 话 杠 
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党 入 | 选 页 | 点 人 居 性 点 人 A 也 议 | coy 安全 | nsmrc | 
DoW 协议 00) 


(03 选择 “上 默认 协议 ”选项 卡 ,选中 “面向 连接 的 TCP/IP”， 单 击 
“ 移 除 ” 按 钮 ， 显 示 如 图 12.33 所 示 。 ny | 部 四 | He | TED | Be. | 
04 单 击 “确定” 按钮， 设置 守成， 重新 启动 后 即 可 关闭 135 端口 。 


可 地 
rn Be 7 
二 - 步 7 多 各 和。 


记 柄 ]_ 峭 | 师 % 
图 12.33 “默认 协议 ”选项 卡 
3. 关闭 139 端口 


开启 139 端口 虽然 可 以 提供 共享 服务 , 但 是 经 常 被 攻击 者 所 利用 进行 攻读 
不 需要 共享 文件 时 ， 应 及 时 关闭 139 端口 。 


Et 


， 因此 如 果 用 户 
1 打开 “网 络 和 共享 中 心 ”窗口 ， 单 击 “ 查 看 状态 ”链接 ， 显 示 “ 本 地 连接 状态 ”对 话 框 ， 单 击 “ 属 性 ” 
按钮 ， 显 示 “ 本 地 连 提 


接 属性 ”对 话 框 ， 双 击 “Internet 协议 版 本 4 (TCP/IPv4)” 选 项 ， 显 示 “Internet 
协议 版 本 4 (TCP/IPv4) 属性 ”对 话 框 ， 如 图 12.34 所 示 。 


TE 


协议 各 本 4 CTCP/IPr4) 属性 
连 撞 一 Ee 
IPA 连接 :连接 时 使 用 - 
TPw 连 扒 : | 训 ztaom rm 可 委 和 汕 人 
所 体 杖 态 - 


© Bi os Sep) 


人 使 用 下 而 的 DRS 服务 器 地 址 全) 
普 这 DIS 服务 短信 ): i2 .168 .1 .5 
| 阁 用 DS 服务 车 OA); 
高 级 W).- 
上 Cw | 


图 12.34 打开 “Internet 协 议 版 本 4 (TCP/IPv4) 属性 ”对 话 框 
2 单 击 “ 高 级 ”按钮 , 显示 如 


设置 ”下 选 


图 


12.35 所 示 “ 高 级 TCP/IP 设置 ”对 话 框 , 选择 “WINS” 选 项 卡 , 在 “NetBIOS 
Ph “禁用 TCP/IP 上 的 NetBIOS (S)” 单 选 按钮 ， 单 击 “ 确 定 ” 按 钮 ， 保 存 设置 即 可 
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图 12.35 “高 级 TCP/IP 设置 ”对 话 框 


4. 关闭 445 端口 


开启 445 端口 用 户 可 以 在 局 域 网 中 轻松 访问 各 种 共享 文件 夹 或 共享 打印 机 , 这 样 一 来 , 其 
问题 也 随 之 产生 ， 有 了 445 端口 ,黑客 们 有 机 可 承 ， 通过 该 端口 偷偷 共享 用 户 的 硬盘 ， 甚 至 会 
在 悄 无 声息 中 将 用 户 硬盘 格式 化 掉 。 为 此 用 户 所 能 做 的 就 是 想 办 法 不 让 黑客 有 机 可 乘 , 封 堵 住 
445 端口 漏洞 。 


011 选择 “开始 ”一 “运行 ”命令 ,打开 “运行 ”对话 框 ， 在 文本 框 中 输入 “regedit” 字符 串 命令 ， 单 击 “ 确 
定 ” 按 钮 ， 打 开 “ 注 册 表 编辑 器 ”窗口 。 依 次 展开 KEY_LOCAL_MACHINE 一 SYSTEM 一 ControlSet 
一 Services 一 NetBTParameters 选项 。 

02 右 击 “Parameters” 选 项 , 在 弹出 的 快捷 菜单 中 选择 “新 建 ” 一 “DWORD (32- 位 ) 值 ”选项 。 将 DWORD 
值 命名 为 “SMBDeviceEnabled”。 右 击 “SMBDeviceEnabled” 值 ， 选 择 快捷 菜单 中 的 “修改 ”选项 ， 
显示 如 图 12.36 所 示 “ 编 辑 DWORD (32 位 ) 值 ”对 话 框 ， 在 “数值 数据 ”文本 框 中 输入 “0”， 单 击 
“确定 ”按钮 ， 完 成 设置 。 
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12.4.2 IPSec 禁用 端口 


利用 IPSec 实现 对 开放 端口 的 禁用 ,如 135 端口 和 445 端口 , 这 两 个 端口 都 与 共享 有 很 大 
的 关系 , 如 果 这 两 个 端口 禁用 的 话 将 会 导致 共享 功能 无 法 进行 。 针 对 微软 系统 而 言 端口 的 开放 
是 必然 的 , 但 是 开放 了 不 必要 的 端口 又 是 很 危险 的 ， 所 以 很 矛盾 , 为 了 能 够 有 效 的 保证 计算 机 
系统 的 安全 ， 建 议 大 家 将 不 必要 的 端口 实现 禁用 操作 。 


1 使 用 “netstat -an” 命 令 ， 查 看 本 地 计算 机 中 打开 了 哪些 端口 ， 如 图 12.37 所 示 。 


图 12.37 Netstat -an 属性 


0 2 依次 选择 “开始 ”一 “管理 工具 ”一 “本 地 安全 策略 ”命令 ,打开 “本 地 安全 策略 ”窗口 。 右 击 “IP 安 
全 策略 ， 在 本 地 计算 机 ”选项 , 选择 快捷 菜单 中 的 “创建 IP 安全 策略 ”命令 ,启动 “IP 安全 策略 向 导 ”。 
依次 单 击 “ 下 一 步 ” 按 钮 ， 设 置 IP 策略 名 称 和 安全 通信 请 求 ， 如 图 12.38 所 示 。 

I 安全 第 四 向 导 划 | 


I 安全 第 鸣 名 称 
命名 这 个 芋 安全 第 跑 并 且 给 出 一 个 简短 的 扬 述 


IP 安全 第 跟 向 导 yi 
名 入 中 安全 通讯 请 求 
TE 指定 这 个 第 史 如 何 对 安全 通讯 的 请 求 作出 响应 


指 述 加 ) 
i 


nt Windows Yists 上 无 效 * 它 仅 在 术 早 版 本 的 Windows 


厂 激 笑 默认 响应 规 刚 ( 公 限 于 Windovs 的 早期 产 本 ) 0* 


《上 - 步 四 i 


12.38 IP 安全 策略 名 称 和 安全 通讯 请 求 


0 3 单 击 “ 下 一 步 ” 按钮， 进入 “正在 完成 IP 安全 策略 向 导 ” 对 话 框 ， 单 击 “ 完 成 ”按钮 创建 了 一 个 新 的 IP 安 
全 策略 。 右 击 该 IP 安全 策略 ， 选 择 “ 属 性 ”选择 ， 显 示 “ 关 闭 135 属性 ”对 话 框 ， 取 消 “使 用 添加 向 导 ” 
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复 选 框 ， 单 击 “ 添 加 ”按钮 ， 显 示 “ 新 规则 属性 ”对 话 框 ， 添 加 新 的 规则 。 单 击 “ 添 加 ”按钮 ， 显 示 “IP 利 
选 器 列表 ”对 话 框 ， 输 入 名 称 ， 如 close 135， 取 消 “使 用 添加 向 导 ” 复 选 框 ， 如 图 12.39 所 示 。 


JT 入 和 加 列表 | 请 过 加 操作 | 身份 只 证 方法 | 联通 设置 | 连接 天 型 | 


F 4 A IP 这 了 那个 网 络 流 里 将 受 此 损 风 
至 时 稍 过 器 列表 指定 _ 


卫 策略 列表 中， 委 3 名 ,9 了、 了 坦 和 和 


图 12.39 新 规则 属性 和 IP 筛选 器 列表 


04 单 击 “ 添 加 ”按钮 ， 显 示 如 图 12.40 所 示 “IP 筛选 器 属性 ”对 话 框 ， 在 “ 源 地 址 ”下 拉 列 表 中 选择 “ 任 
何 IP 地 址 ”选项 ， 在 “目标 地 址 ”的 下 拉 列 表 中 选择 “我 的 IP 地 址 ”选项 。 选 择 “ 协 议 ” 选 项 卡 ， 在 
“选择 协议 类 型 ”的 下 拉 列 表 中 选择 “TCP” 选 项 , 在 “到 此 端口 ”下 的 文本 框 中 输入 “135” 单 击 “ 确 
定 ”按钮 ， 即 可 添加 了 一 个 屏蔽 TCP135 端口 的 筛选 器 ， 能 够 防止 外 界 通过 135 端口 连 上 本 地 计算 机 。 

05 单 击 “ 确 定 ” 按 钮 ， 返 回 到 “新 规则 属性 ”对 话 框 ， 选 中 “IP 筛选 器 列表 ”下 名 称 为 “close 135” 单 
选 按钮 ， 其 左边 的 圆圈 上 加 一 个 点 ， 表 示 已 经 激活 。 

6 切换 到 “筛选 器 操作 ”选项 卡 ， 取 消 “ 使 用 添加 向 导 ” 复 选 框 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 图 12.41 所 
示 “ 新 筛选 器 操作 属性 ”对 话 框 ， 选 择 “ 安 全 方法 ”选项 卡 ， 选 中 “阻止 ” 单 选 按钮 。 


[EEC xl 
bw HE 
二 38 去 议 | | 
选择 协议 类 型 中 ): 
EL Em 
FE 习 安全 方法 | 党 规 | 
设置 了 协议 滞 吕 :一 一 一 一 一 一 一 一 一 一 一 一 一 斑 许 可 中 
他 从 任意 满口 F) 信阳 止 0 
个 从 此 庙 Dm): 外 
全 


个 到 任意 满口 0) 
人 到 此 庙 口 0): 
135| 


目标 地 址 m9); 


灰 镜像 0)。 与 济 


Cw | 


图 12.40 设置 “IP 第 选 器 属性 ” 图 12.41 “新 筛选 器 操作 属性 ”对 话 框 
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07 单 击 “确定 ”按钮 ， 显 示 如 图 12.42 所 示 “ 新 规则 属性 ”对 话 框 ， 选 中 “新 筛选 器 操作 ” 单 选 按钮 ， 
单 击 “ 关 闭 ” 按 钮 关闭 对 话 框 。 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 在 “本 地 安全 策略 ”窗口 ， 右 击 新 添加 
的 IP 安全 策略 ， 选 择 快捷 菜单 中 的 “分 配 ”命令 ， 即 可 分 配 该 新 建 策略 。 


图 12.42 “新 规则 属性 ”对 话 框 
0 8 重新 启动 计算 机 , 主机 上 设置 好 的 端口 被 关闭 ,病毒 和 黑客 将 连 不 上 这 些 端 口 ,从 而 保护 计算 机 的 安全 。 


12.4.3 ”关闭 服务 


网 络 服务 是 通过 操作 系统 中 的 端口 向 网 络 用 户 提供 的 ,并 且 一 种 网 络 服务 可 能 同时 需要 多 
个 端口 ， 关 闭 服务 即 可 关闭 相应 的 端口 。 以 关闭 Windows Server 2008 系统 的 FTP 服务 为 例 ， 
介绍 如 何 通过 这 种 方法 配置 Windows 端口 。 


01 依次 选择 “开始 ”一 “管理 工具 ”一 “服务 ” 
命令 ， 显示“ 服务 ”窗口 。 双 击 “FTP Publishing 
Service ”服务 ， 显 示 如 图 12.43 所 示 “FTP 
Publishing Service 的 属性 ”对 话 框 。 如 果 安 装 了 
FTP 服务 ， 此 服务 将 随 系统 启动 而 自动 运行 。 


图 12.43 “FTP Publishing Service 的 属性 ”对 话 框 
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荣 需 | 可 录 | 恢复 | 依存 关系 | 
服务 名 称 。 NSFTPSWC 
显示 名 称 咯 :。 FTP Publishing Service 


im 区 i 有 习 
2 单 击 * 停止 ”按钮 , 停止 该 服务 ,然后 在 “ 启 后 


动 类 型 ”下 拉 列 表 中 选择 “禁用 ”如 图 12.44 全 
所 示 。 -一 
Te | ED | | 


当 从 此 处 避 动 服务 时 ， 你 可 指定 所 适用 的 启动 多 数 。 


如 果 要 开启 该 江口 ， 只 需 先 在 “启动 类 型 ” 选择 “自动 ”选项 ， 单 击 “ 应 用 ”按钮 ， 然 后 
单 击 “启动 ”按钮 即 可。 


12.5 重 定向 默认 端口 


常用 网 络 服务 的 默认 端口 是 众所周知 的 , 通过 端口 重 定向 可 以 改变 服务 器 的 默认 设置 , 绕 
过 入 侵 者 对 常规 设置 的 攻击 。 例 如 ，3389 端口 是 Windows Server 2008 远程 桌面 的 服务 端口 ， 
可 以 通过 这 个 端口 ， 用 “远程 桌面 连接 ”工具 连接 到 远程 的 服务 器 ， 如 果 连 接 上 ， 输 入 系统 管 
理 员 的 用 户 名 和 密码 后 , 将 变 得 可 以 像 操 作 本 机 一 样 操作 远程 计算 机 。 为 了 确保 远程 终端 连接 
的 安全 性 ， 可 以 将 其 默认 端口 调整 为 2009 或 其 他 。 


ED 


01 打开 “注册 表 编辑 器 ”窗口 ， 依 次 选择 
HKEY_LOCAL_MACHINE 一 SYSTEM 一 Current 
ControlSet 一 Control 一 Terminal Server 一 Wds 一 rdpwd 
一 Tds 一 tcp 选项 (如 果 无 法 找到 时 可 以 自行 创建 )， 显 
示 如 图 12.45 所 示 “ 注 册 表 编辑 器 ”窗口 。 


Hen 
oonocote a) 


on0piat ane) 


7 Yinsstin J 
四 "| ] 四 
HT DOA RCIEEGTSTSNCareafaatralSetContraliTemnlaal Server Wis\rdon Tds Ney 3 


图 12.45 tcp 注册 表 子 项 
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数值 名 称 员 ): 
0 2 在 目标 注册 表 子 项 中 , 双击 PortNumber 选项 ， 
显示 如 图 12.46 所 示 “ 编 辑 DWORD (32 位 ) 值 ” En | C0 
对 话 框 。 在 数值 数据 中 输入 “2009”， 单 击 “ 确 定 ” + 


按钮 。 
图 12.46 “编辑 DWORD (32 位) 值 ”对 话 框 


03 在 “注册 表 编 辑 器 ”窗口 中 ， 依 次 展开 。 下 DER 


HKEY_LOCAL_MACHINE 本 
HKEY_LOCAL_MACHINE 一 SYSTEM 一 
CurrentControlSet 一 Control 一 TerminalServer 一 
WinStations 一 RDP-Tcp” 选 项 ， 如 图 12.47 所 示 。 


双击 “PortNumber ”选项 ， 在 数值 数据 中 输入 这 a 
“2009”， 单 击 “ 确 定 ”按钮 退出 Windows Server | -i 
2008 系统 注册 表 纺 辑 吕 窗口， 重新 启动 ， 就 可 以 使 | 砚 -et | 
上 述 设置 操作 正式 生效 。 一 一 一 一 一 


图 12.47 RDP-Tcp 注册 表 子 项 


04 在 远程 终端 计算 机 上 ,依次 选择 “开始” 一 “所 
有 程序 ”一 “附件 ”一 “远程 条 面 连接 ”命令 ， 在 
“远程 梨 面 连接 ” 对话 框 中 , 输入 要 远程 连接 的 “ 计 
算 机 名 : 2009” 或 “IP 地 址 ， 2009” ， 如 
192.168.1.116: 2009， 如 图 12.48 所 示 。 单 击 “ 确 


定 ”按钮 ， 输 入 帐户 和 密码 ， 即 可 远程 连接 到 计算 [EN 人 
机 上 ， 图 12.48 “远程 上 面 连接 ”对 话 杠 


注意 “在 更 改 远程 桌面 访问 端口 后 , 一 定 要 检查 一 下 防火 墙 是 否 会 拦截 该 端口 ,一定 要 将 
得 此 新 端口 加 入 防火 墙 允许 的 范围 。 


小 结 


端口 安全 是 系统 安全 中 最 容易 被 忽视 的 “角落 ”， 其实， 监听 和 分 析 端 口 往往 是 黑客 入 侵 
系统 的 第 一 步 ， 此 时 ， 如 果 管 理 员 可 以 觉察 到 端口 状态 的 变化 ， 便 有 机 会 挫败 黑客 的 入 侵 。 端 
口 分 类 的 依据 主要 有 两 种 : 端口 号 和 协议 类 型 。 为 了 便于 系统 管理 , 用 户 应 该 熟知 一 些 常用 端 
口 ， 并 且 掌 握 几 种 最 常用 的 端口 查看 工具 。 默 认 情况 下 ， 许 多 端口 都 是 开启 的 ， 而 对 于 一 些 高 
风险 的 端口 必须 及 时 关闭 。 关 闭 端口 的 方法 有 多 种 , 最 常用 的 就 是 IPSec 禁用 端口 和 关闭 服务 。 
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另外 ， 对 于 计算 机 默认 的 端口 ， 如 端口 3389 等 ， 建 议 采 用 重 定向 方式 ， 确 保 服务 器 的 安全 。 


习 题 


1. 端口 在 计算 机 中 起 什么 作用 ? 

2. 在 上 网 的 时 候 ， 常 用 的 端口 有 哪些 ? 

3. 如 何 使 用 netstat 命令 查看 端口 ? 

4. 如 何 重 定向 本 机 的 默认 端口 、 保 护 本 地 计算 机 的 安全 ? 


实验 : 查询 和 配置 端口 


实验 目的 

掌握 查询 端口 状态 的 操作 ， 并 且 根 据 需要 开启 和 关闭 端口 。 

实验 内 容 

端口 445 是 一 种 TCP 端口 ， 提 供 局 域 网 中 文件 或 打印 机 共享 服务 。 该 端口 是 基于 CIFS 


协议 工作 的 。 攻 击 者 与 445 端口 建立 请 求 连接 , 也 能 获得 指定 局 域 网 内 的 各 种 共享 信息 。 因 此 ， 
可 以 先 使 用 netstat 命令 查询 一 下 445 端口 的 状态 ， 如 果 开启 ， 则 将 其 关闭 。 
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实验 步骤 

. 查询 445 端口 状态 。 

. 创建 新 的 卫 安全 策略 。 
. 添加 新 的 规则 。 

. 屏蔽 TCP 135 端口 。 

. 激活 新 筛选 器 操作 。 

. 在 主机 上 设置 端口 。 


中 本 PP 一 


第 13 章 


审核 策略 与 事件 日 志 


Windows NT 以 来 ， 安 全 事件 日 志 就 是 令 
经 常 面 对 的 问题 。 事 件 日 志 中 


系统 管理 员 头疼 不 已 ， 而 又 不 


包含 了 许多 有 关系 统 运 行 状态 、 安 全 策略 、 


nnn ， 但 是 对 审核 策略 缺乏 合理 的 控制 , 使 得 管理 员 不 得 不 
量 的 历史 事件 日 志 中 , 查找 自己 真正 需要 的 信息 。 在 Windows Server 2008 
审核 系统 有 了 很 大 的 改进 ， 使 用 起 来 更 加 方便 。 审 核 策略 的 扩充 ， 使 用 户 


可 以 更 加 方便 地 选择 要 查看 的 


有 件 。 审 核 习 


有 件 记 录 格 式 和 内 容 也 有 所 变化 ,用 


户 能 够 更 容易 在 安全 日 志 中 了 解 事件 。 


本 章 导 读 


晶 ”审核 策略 的 设置 ， 启 用 与 优 


化 


图 Windows Server 2008 中 的 新 事件 


晶 系统 日 志 的 分 析 ， 设 置 与 调 


试 
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13.1 审核 策略 


审核 是 Windows Server 2008 系统 安全 策略 的 一 部 分 。 通 过 设置 审核 策略 ， 确 定 是 否 将 安 
全 事件 记录 到 计算 机 上 的 安全 日 志 中 , 同时 也 确定 是 否 记录 登录 成 功 或 登录 失败 , 或 二 者 都 记 
录 。 系统 管理 员 希 望 了 解 系统 运行 状态 时 ， 通 过 查看 相关 类 型 的 系统 事件 即 可 ， 相 对 于 大 量 的 
系统 时 间 信 息 而 言 ， 审 核 策略 产生 的 日 志 数量 就 非常 小 了 ， 大 大 节约 了 查看 时 间 。 


提示 “在 加 入 域 中 的 成 员 服务 器 和 工作 站 上 ,默认 情况 下 未 定义 事件 类 别 的 审核 设置 。 在 


\ 闻 城 控制 器 上 ,默认 情况 下 审核 关闭 。 通 过 为 特定 的 事件 类 别 定义 审核 设置 ， 可 以 创 
建 一 个 适合 组 织 安全 需要 的 审核 策略 。 


13.1.1 审核 策略 概述 


安全 访问 控制 策略 包括 3 项 基本 控制 , 即 认证 、 授 权 和 审核 ,认证 是 访问 控制 的 “第 一 关 ”， 
负责 验证 对 方 身份 的 有 效 性 ， 如 用 户 名 、 密 码 等 ， 授权 是 确认 用 户 身份 后 ， 为 其 分 配 哪些 访问 
权限 ,避免 由 于 越界 访问 带 来 的 安全 隐患 ; 审核 则 是 记录 用 户 访问 过 程 中 执行 了 哪些 操作 ,是 
和 否 对 系统 安全 或 网 络 安全 构成 威胁 , 并 生成 相应 日 志 。 审核 策略 只 能 跟踪 检查 用 户 的 操作 是 否 
违规 ， 以 及 是 如 何 违规 的 ， 但 并 不 能 防止 违规 事件 的 发 生 。 


1. Windows 审核 的 工作 原理 


Windows 审核 系统 、 安 全 决策 组 件 和 事件 日 志 服务 配合 工作 ， 以 可 靠 的 方式 为 正在 运行 
的 网 络 服务 生成 安全 事件 。 安 全 决策 组 件 通常 被 称 为 安全 参考 监控 ， 当 制定 了 安全 决策 后 , 监 
视 器 就 会 通知 审核 系统 , 并 将 活动 的 细节 传输 到 审核 系统 。 审 核 系统 将 这 些 细节 按照 指定 的 格 
式 生 成 事件 日 志 ,确保 数据 以 连续 形式 显示 ,并 且 清 除 所 有 审核 策略 不 允许 日 志 的 事件 ， 其 余 
事件 被 发 送 到 事件 日 志 服务 ， 储 存 于 安全 日 志 中 。 如 图 13.1 所 示 是 Windows 审核 子 系统 的 工 
作 概 况 。 


安全 事件 
日 志 


图 13.1 Windows 审核 系统 
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注意 “Windows 审核 在 为 审核 系统 提供 事件 前 ， 会 检查 审核 策略 ， 预 防 发 生 不 必要 的 执 
行 障碍 。 

Windows 审核 系统 在 LSA 进程 中 执行 ， 在 Windows 进程 列表 和 Windows 核心 中 显示 为 
lsass.exe。LSA 包含 Windows 用 户 模式 组 件 ， 用 于 执行 安全 策略 和 其 他 安全 功能 ， 例 如 认证 。 
有 些 组 件 如 认证 包 ， 是 位 于 LSA 内 部 的 ， 其 将 事件 直接 传递 到 审核 系统 。 运 行 于 LSA 外 的 月 
户 模式 中 的 组 件 (如 ADDS)， 以 及 使 用 Windows 审核 APIs 的 应 用 程序 ， 只 能 经 由 PRC 将 事 
件 传递 到 LSA。 内 核 包 含 着 一 个 普通 的 审核 界面 供 核心 组 件 使 用 。 它 还 包含 一 个 对 象 管理 器 ， 
负责 生成 多 数 对 象 访问 事件 。 事 件 可 以 通过 内 核 事件 跟踪 引擎 (ETW) 传递 到 事件 日 志 服务 ， 
也 可 以 通过 RPC 传递 。 大 多 数 生成 于 内 核 的 事件 直接 传递 到 ETW, 但 需要 复杂 的 事件 则 需 先 
传递 到 LSA 进行 格式 化 。LSA 将 多 数 事件 通过 ETW 传递 到 事件 日 志 ， 只 有 在 部 分 审核 子 系 
统 失败 时 才 使 用 RPC 渠道 。 


提示 在 Windows Vista 和 Windows Server 2008 系统 中 , 事件 日 志 引擎 已 经 升级 到 6.0 版 
4 本 。 旧 的 事件 日 志 服务 最 大 的 有 效 日 志文 件 为 4GB (在 x86 的 计算 机 上 会 更 小 些 )， 
而 使 用 新 版 本 引擎 的 日 志文 件 可 以 超过 一 个 PB。 旧 日 志 的 最 大 传输 速率 为 每 秒 几 


千 个 事件 ， 而 新 日 志 的 传输 速率 为 每 秒 上 万 个 。 
2. 系统 审核 类 型 


在 Windows Vista 之 前 ， 所 有 安全 事件 都 属于 9 种 审核 策略 之 一 。 通 过 启用 一 个 审核 类 别 
的 成 功 或 失败 的 审核 ， 就 启用 了 该 类 别 的 所 有 审核 事件 。 在 Windows Server 2008 和 Windows 
Vista 中 ， 所 有 安全 事件 都 归属 于 一 个 审核 策略 子 类 别 。 当 启用 了 某 子 类 别 的 审核 策略 后 ， 也 
就 启用 了 所 有 属于 该 子 类 别 的 事件 。 每 个 子 类 别 的 设置 中 , 既 有 启用 由 成 功 的 活动 生成 的 事件 ， 
也 有 启用 由 失败 的 事件 生成 的 事件 。 


(1 ) 审核 帐户 登录 事件 


审核 帐户 登录 事件 设置 确定 是 否 审核 在 这 台 计 算 机 用 于 验证 帐户 时 ,用 户 登录 到 其 他 计算 
机 或 者 从 其 他 计算 机 注销 的 每 个 实例 。 当 在 域 控制 器 上 对 域 用 户 帐户 进行 身份 验证 时 ,将 产生 
帐户 登录 事件 。 该 事件 记录 在 域 控制 器 的 安全 日 志 中 。 当 在 本 地 计算 机 上 对 本 地 用 户 进行 身份 
验证 时 ， 将 产生 登录 事件 。 该 事件 记录 在 本 地 安全 日 志 中 ， 不 产生 帐户 注销 事件 。 

如 果 定 义 该 策略 设置 ,可 以 指定 是 否 审核 成 功 、 审 核 失败 , 或 根本 不 对 事件 类 型 进行 审核 。 
当 某 个 帐户 的 登录 成 功 时 ， 成 功 审核 会 生成 审核 项 。 当 某 个 帐户 的 登录 失败 时 ， 失 败 审核 会 生 
成 审核 项 。 

(2) 审核 帐户 管理 

审核 帐户 管理 设置 确定 是 否 审核 计算 机 上 的 每 一 个 帐户 管理 事件 .帐户 管理 事件 的 例子 包括 : 

= 创建 、 更 改 或 删除 用 户 帐户 或 组 ; 

重 命名 、 禁 用 或 启用 用 户 帐户 ; 

设置 或 更 改 密码 。 
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如 果 定 义 该 策略 设置 , 可 以 指定 是 否 审核 成 功 、 审核 失败 , 或 根本 不 对 事件 类 型 进行 审核 。 
任何 帐户 管理 事件 成 功 时 ， 成功 审核 都 会 生成 审核 项 。 任何 帐户 管理 事件 失败 时 ， 失 败 审核 都 
会 生成 审核 项 。 


(3 ) 审核 目录 服务 访问 


审核 目录 服务 访问 设置 确定 是 否 审核 用 户 访问 那些 指定 自己 的 系统 访问 控制 列表 
(SACL) 的 Active Directory 对 象 的 事件 。 

默认 情况 下 ， 在 “默认 域 控制 器 组 策略 对 象 (GPO)” 中 该 值 设置 为 无 审核 ， 并 且 在 该 值 
没有 任何 意义 的 工作 站 和 服务 器 中 ， 它 保持 未 定义 状态 。 

如 果 定 义 该 策略 设置 , 可 以 指定 是 否 审核 成 功 、 审 核 失 败 , 或 根本 不 对 事件 类 型 进行 审核 。 
用 户 成 功 访问 指定 了 SACL 的 Active Directory 对 象 时 ， 成 功 审核 会 生成 审核 项 。 用 户 尝试 访 
问 指定 了 SACL 的 Active Directory 对 象 失败 时 ， 失 败 审核 会 生成 审核 项 。 

注意 ”通过 使 用 某 个 Active Directory 对 象 “属性 ”对 话 框 中 的 “安全 ”选项 卡 ， 可 以 设 

9 置 该 对 象 的 SACL。 该 操作 与 审核 对 象 访问 相同 ,只 不 过 仅 应 用 于 Active Directory 

对 象 而 不 是 文件 系统 和 注册 表 对 象 。 


(4) 审核 登录 事件 


审核 登录 事件 设置 确定 是 否 审核 每 一 个 登录 或 注销 计算 机 的 用 户 实例 。 

在 域 控制 器 上 将 生成 域 帐户 活动 的 帐户 登录 事件 ,并 在 本 地 计算 机 上 生成 本 地 帐户 活动 的 
帐户 登录 事件 。 如 果 同 时 启用 帐户 登录 和 帐户 审核 策略 类 别 , 那么 使 用 域 帐 户 的 登录 将 生成 登 
录 或 注销 工作 站 或 服务 器 的 事件 , 而 且 将 在 域 控制 器 上 生成 一 个 帐户 登录 事件 。 此 外 ,在 用 户 
登录 而 检索 登录 脚本 和 策略 时 , 使 用 域 帐户 的 成 员 服务 器 或 工作 站 的 交互 式 登录 将 在 域 控制 器 
上 生成 登录 事件 。 

如 果 定 义 该 策略 设置 , 可 以 指定 是 否 审核 成 功 、 审核 失败 , 或 根本 不 对 事件 类 型 进行 审核 。 
登录 成 功 时 ， 成 功 审核 会 生成 审核 项 。 登 录 失 败 时 ， 失 败 审核 会 生成 审核 项 。 

(5) 审核 对 象 访问 

审核 对 象 访问 设置 确定 是 否 审核 用 户 访问 某 个 对 象 的 事件 , 例如 文件 、 文件 夹 、 注册 表 项 、 
打印 机 等 ， 它 们 都 有 自己 特定 的 系统 访问 控制 列表 (SACL )。 

如 果 定 义 该 策略 设置 ,可 以 指定 是 否 审核 成 功 、 审 核 失败 ， 或 根本 不 对 该 事件 类 型 进行 审 
核 。 当 用 户 成 功 访问 指定 了 合适 SACL 的 对 象 时 ， 成 功 审核 将 生成 审核 项 。 当 用 户 访问 指定 
有 SACL 的 对 象 失败 时 ， 失 败 审核 会 生成 审核 项 。 


(6) 审核 策略 更 改 


审核 策略 更 改 设置 确定 是 否 审核 用 户 权限 分 配 策略 审核 策略 或 信任 策略 更 改 的 每 一 个 事件 。 

如 果 定 义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审核 失败 , 或 根本 不 对 该 事件 类 型 进行 审 
核 。 对 用 户 权 限 分 配 策略 、 审 核 策略 或 信任 策略 所 作 更 改 成 功 时 ， 成功 审核 会 生成 审核 项 。 对 
用 户 权限 分 配 策略 、 审 核 策 略 或 信任 策略 所 作 更 改 失败 时 ， 失 败 审核 会 生成 审核 项 。 
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(7) 审核 特权 使 用 


审核 特权 使 用 设置 确定 是 否 审核 用 户 实施 其 用 户 权利 的 每 一 个 实例 。 

如 果 定 义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审核 失败 , 或 根本 不 对 这 种 事件 类 型 进行 
审核 。 用 户 权 利 实施 成 功 时 ， 成 功 审核 会 生成 审核 项 。 用 户 权利 实施 失败 时 ， 失 败 审核 会 生成 
审核 项 。 

(8 ) 审核 过 程 跟 踪 

审核 过 程 跟踪 设置 确定 是 否 审核 事件 (例如 程序 激活 、 进 程 退出 、 句 柄 复制 和 间接 对 象 访 
问 等 ) 的 详细 跟踪 信息 。 

如 果 定 义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审核 失败 , 或 根本 不 对 该 事件 类 型 进行 审 
核 。 所 跟踪 的 过 程 成 功 时 ， 成功 审核 会 生成 审核 项 。 所 跟踪 的 过 程 失 败 时 ， 失 败 审核 会 生成 审 
核 项 。 


(9) 审核 系统 事件 
当 用 户 重新 启动 或 关闭 计算 机 时 或 者 对 系统 安全 或 安全 日 志 有 影响 的 事件 发 生 时 , 安全 设 
置 确定 是 否 予以 审核 。 


如 果 定 义 该 策略 设置 ， 可 以 指定 是 否 审核 成 功 、 审核 失败 , 或 根本 不 对 该 事件 类 型 进行 审 
核 。 系统 事件 执行 成 功 时 ,成功 审核 会 生成 审核 项 。 系统 事 件 执行 失败 时 ， 失 败 审核 会 生成 审 


13.1.2 设置 审核 策略 


早期 版 本 的 Windows 的 审核 策略 是 平 级 的 , 控制 程度 远 不 及 现在 的 审核 机 制 。 在 Windows 
Vista 和 Windows Server 2008 中 ， 审 核 策略 是 分 层 的 ， 这 是 审核 策略 的 一 个 重要 的 改变 。 


1. 审核 策略 简介 


在 Windows Vista 和 Windows Server 2008 
系统 中 , 管理 员 可 以 使 用 两 种 工具 设置 审核 策 
略 : 本 地 安全 策略 编辑 器 (在 域 环境 中 则 可 以 
使 用 组 策略 编辑 器 ) 和 AuditPol.exe 命令 行 工 
具 。 只 有 AuditPol.exe 命令 行 工具 能 够 在 子 类 
别 级 别 设置 审核 策略 : 微软 并 没有 将 审核 策略 
图 形 用 户 界面 升级 ,如 图 13.2 所 示 是 Windows 
Server 2008 审核 策略 配置 的 组 策略 机 制 包含 
审核 策略 子 类 别 。 

审核 策略 的 关键 在 于 控制 哪些 事件 生成 
并 存储 在 审核 日 志 中 ， 新 的 GAP (Generic ”图 13.2 Windows Server 2008 的 层级 审核 策略 组 织 形式 
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Access Profile, 通用 访问 应 用 ) 特性 EEEEEE 
是 控制 程度 更 高 。 大 多 数 Windows 
系统 是 通过 组 策略 从 域 中 得 到 审核 
策略 的 (如 图 13.3 所 示 ), 并 不 支持 
GAP。 这 也 说 明 可 以 为 Windows 
Server 2008 生成 一 个 单独 的 审核 策 
略 ， 一 旦 将 服务 器 与 域 联合 ， 新 的 
审核 策略 就 将 被 组 策略 中 传统 的 审 
核 策 略 所 覆盖 。 

Microsoft 提供 了 一 种 机 制 ， 防 
止 组 策略 分 配 的 合法 审核 策略 被 I I | 
GAP 禾 益 。 一 个 名 为 SCENoConfig 图 13.3 本 地 安全 策略 MMC 快照 中 的 审核 策略 用 户 界面 
LegacyAuditPolicy 的 注册 表 值 使 得 
安全 配置 引擎 (执行 有 关 安 全 组 策略 设置 的 组 件 ) 应 用 于 传统 审核 策略 。 如 果 将 此 注册 表 值 设 
置 为 非 零 值 ， 如 果 一 级 审核 策略 是 通过 安全 策略 快照 或 组 策略 设置 的 ， 就 不 适用 了 。 

审核 策略 用 户 界 面 的 另 一 局 限 性 在 于 一 级 类 别 与 子 类 别 之 间 的 关系 。 当 用 户 使 用 UI 来 检 
测 审核 策略 类 别 设置 时 ， 如 果 启 用 EEEEEEESEEE = 
某 类 别 的 所 有 子 类 别 ，UI 就 会 显示 > 
启用 该 类 别 。 同 样 的 ， 如 果 所 有 相 ” 忆 a 入 


[a 


in Policy Uli eolpen xet] SR 


关子 类 别 都 禁用 ，UI 也 会 显示 该 关 | ,有 莹 

别 是 禁用 的 。 但 UT 还 用 于 另 一 种 情 | ss 各 各 和 

况 中 一 一 了 类 别 中 也 有 禁用 和 启用 | 时 gy ee 

的 。 在 这 种 情况 下 UI 显示 该 类 别 为 esi a - 
禁用 ， 但 用 户 可 以 通过 AuditPol.exe 
程序 查看 正确 有 效 的 审核 策略 设 一 
置 ， 如 图 13.4 所 示 。 图 13.4 使 用 AuditPol.exe 显示 有 效 的 GAP 设置 


该 机 制 已 通过 验证 并 运行 良好 。 如 果 需 要 改变 审核 策略 设置 , 而 却 没有 必要 改变 组 策略 对 
象 (GPO) 或 脚本 ， 用 户 就 可 以 使 用 此 方式 来 配置 。 这 是 通过 使 策略 应 用 程序 脚本 在 文本 文 
件 中 阅读 审核 设置 而 实现 的 。 


2. 审核 策略 选项 


使 用 AuditPolexe 或 本 地 或 组 策略 模式 中 的 安全 策略 时 , 在 用 户 界面 的 安全 选项 中 可 以 启 
用 一 些 与 审核 策略 相关 的 功能 。 

单一 级 别 的 操作 系统 中 ， 如 果 无 法 记录 安全 审核 ， 立 即 关闭 系统 〈CrashOnAuditFail) 设 
置 通用 准则 需求 ， 以 保护 文件 。 通 用 准则 需求 指 的 是 ， 当 审核 系统 无 法 生成 或 是 存储 日 志 时 ， 
系统 必须 暂停 所 有 的 审核 活动 。 在 Windows 中 ， 当 审核 系统 不 能 安全 记录 时 ， 是 通过 暂停 系 
统 〈 以 蓝屏 形式 ) 来 停止 其 活动 的 。 在 出 现 “CrashOnAuditFail” 后 ， 系 统 重启 后 只 有 管理 员 
可 以 登录 , 直到 安全 事件 日 志 被 清除 ， 导 致 错误 的 情况 恢复 正常 后 ， 其 他 用 户 才 可 以 登录 。 只 
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有 必要 时 ， 才 能 使 用 此 设置 ， 其 可 能 会 导致 拒绝 服务 攻击 。 
出 现 CrashOnAuditFail 有 3 种 情形 : 


特性 不 能 启用 ; 

启用 特性 ， 但 系统 并 没有 出 现 问题 ; 

启用 特性 ， 由 于 审核 系统 错误 出 现 了 问题 , 并 且 系 统 已 重启 。 在 这 种 情况 下 只 有 系统 管 
理 员 可 以 登录 。 直 到 将 CrashOnAuditFail 设置 为 禁止 或 允许 并 且 清 除了 日 志 后 , 普通 用 
户 方 可 登录 。 


完全 特权 审核 (FullPrivilegeAuditing) 设置 会 导致 权限 使 用 事件 ， 若 通过 审核 策略 启用 ， 
其 会 授予 除 生成 安全 审核 (SeAuditPrivilege) 外 的 所 有 特权 。 在 一 般 情 况 下 ， 以 下 权限 不 生成 
特权 使 用 事件 : 


和 跳 过 遍历 检查 (SeChangeNotifyPrivilege); 

@ 调试 程序 (SeDebugPrivilege) ; 

四 创建 令 牌 对 象 (SeCreateTokenPrivilege) ; 

四 替换 齐 程 级 令 牌 (SeAssignPrimaryTokenPrivilege) ; 
下 生成 安全 审核 (SeAuditprivilege) ; 

备份 文件 和 目录 (SeBackupPrivilege) ; 

和 还 原文 件 和 目录 (SeRestorePrivilege) 。 


禁止 这 些 权限 的 主要 原因 , 是 由 于 普通 操作 系统 和 应 用 程序 频繁 使 用 这 些 权限 , 或 在 备份 
和 还 原 权限 的 情况 下 , 会 导致 容量 过 大 。 此 外 ， 如 果 生 成 审核 权限 的 作用 是 其 自身 审核 , 日 志 
就 会 填 满 此 事件 ， 因 此 从 不 审核 SeAuditPrivilege。 概 括 地 讲 ， 安 全 事件 日 志 中 的 所 有 事件 ， 
都 是 SeAuditPrivilege 的 一 个 特权 使 用 事件 ， 但 如 果 不 需要 ， 则 不 要 启用 。 

审核 全 局 系统 对 象 (AuditBaseObjects) 和 审核 全 局 系统 目录 (AuditBaseDirectories) 设置 
会 导致 在 创建 命名 核心 对 象 ( 例 如 互 斥 和 信号 量 ) 时 , 为 其 添加 SACL。 AuditBaseDirectories 
影响 容器 对 象 ，AuditBaseObjects 影响 无 法 容纳 其 他 对 象 的 对 象 。 基 础 对 象 用 于 同步 进程 。 大 
多 数 核心 对 象 是 非 命 名 的 , 使 用 句柄 来 表示 。 进 程 的 句柄 是 唯一 的 , 无 法 查看 或 访问 未 创建 的 
非 命名 核心 对 象 。 命 名 核心 对 象 是 可 见 的 ， 除 非 进程 请 求 私有 名 称 空间 。 使 用 命名 核心 对 象 时 
也 有 风险 ， 如 果 不 安全 ， 则 恶意 进程 可 以 操纵 命名 核心 对 象 ， 导 致 系统 出 现 问 题 。 这 种 攻击 手 
段 叫做 “ 足 守 攻击 (squatting attack)”。 使 用 AuditBaseObjects 和 AuditBaseDirectories 可 以 审 
核 这 些 对 象 的 访问 ， 从 日 志 中 检测 蹲 守 攻击 。 

AuditBaseObjects 和 AuditBaseDirectories 的 主要 问题 在 于 能 够 导致 很 大 的 审核 容量 , 因为 
在 基本 操作 中 对 这 些 对 象 的 访问 数量 巨大 。 使 用 的 SACL 也 是 经 过 硬 编码 的 ， 用 户 无 法 调整 
它们 , 但 在 Windows Vista 和 Windows Server 2008 中 不 同 , 只 有 审核 能 够 赋予 访问 这 些 对 象 的 
权限 ， 这 就 大 大 减少 了 其 容量 。SACL 机 制 的 男 一 限制 在 于 ，SACL 从 系统 启动 创建 对 象 时 
始 一 直 持续 着 整个 进程 运行 的 过 程 中 ， 如 果 对 象 不 毁灭 ，SACL 就 不 会 改变 ,通常 在 创建 该 对 
象 的 进程 终止 或 关闭 时 ， 对 象 就 被 毁灭 了 〈 对 于 系统 对 象 来 说 ) 。 要 使 启用 或 禁 
AuditBaseObjects 或 AuditBaseDirectories 生效 ， 就 必须 重新 启动 计算 机 。 

有 关 核 心 对 象 的 信息 并 没有 中 央 存 储 。 多 数 软件 开发 机 构 不 会 公开 此 类 信息 , 因为 这 涉及 
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到 软件 的 内 部 运行 方式 ， 并 且 用 户 不 能 对 其 进行 设置 。 所 以 ， 即 使 启用 AuditBaseObjects 或 
AuditBaseDirectories， 也 很 难 确定 一 个 对 象 的 作用 ， 除 非 该 对 象 的 名 称 是 描述 性 的 。 因此， 在 
研发 环境 中 最 好 不 要 允许 此 类 设置 。 用 户 可 以 使 用 微软 工具 程序 集 网 站 

(http://www.microsoft.com/technet/sysinternals/SystemInformation/ProcessExplorer.mspx ) 上 的 进 
程 管理 器 工具 来 检测 基础 对 象 ( 如 图 13.5 所 示 )。 


| 
Tm NW em Dam Hm re 


图 13.5 ”使 用 进程 管理 器 检测 对 象 


13.1.3 启用 审核 策略 


Windows 系统 可 以 提供 9 类 事件 审核 策 
略 ， 对 于 每 一 类 都 可 以 指明 是 审核 成 功 事件 、 
失败 事件 ， 还 是 两 者 都 审核 。Windows Server 
2008 系统 启动 了 大 部 分 本 地 审核 策略 , 安全 性 
更 高 ， 管 理 员 可 以 依次 单 击 “ 开 始 ” 一 “管理 
工具 ”一 “本 地 安全 策略 ”一 “本 地 策略 ”一 
“审核 策略 ”， 打 开 Windows 审核 策略 窗口 ， 
在 这 里 即 可 根据 需要 启用 或 关闭 安全 审核 策 
略 , 如 图 13.6 所 示 。 升 级 为 域 控制 器 的 Windows 
Server 2008 服务 器 ， 则 需要 在 “组 策略 管理 ” 
控制 台中 完成 。 图 13.6 ”Windows 审核 策略 

Windows Server 2008 系统 支持 的 事件 审核 策略 包括 : 

审核 策略 更 改 : 确定 是 否 对 用 户 权 限 分 配 策略 、 审 核 策略 或 信任 策略 做 出 更 改 的 每 一 个 

事件 进行 审核 。 系 统 默认 设置 为 “成 功 ”， 建 议 设置 为 “成 功 ” 和 “失败 ”; 
m 审核 登录 事件 : 确定 是 否 审核 用 户 登 录 到 该 计算 机 、 从 该 计算 机 注销 或 建立 与 该 计算 机 
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网 络 连 接 的 每 一 个 实例 。 如 果 设 定 为 审核 “成 功 ”， 可 用 来 确定 哪个 用 户 成 功 登录 到 哪 
全 计算机 ; 如 果 设 为 审核 “失败 ”， 可 以 用 来 检测 入 侵 ， 但 攻击 者 生成 的 庞大 登录 失败 
日 志 , 会 造成 拒绝 服务 (DoS) 状态 。 建 议 保持 系统 设置 的 “成 功 ” 状 态 ; 

里 审核 对 象 访问 : 确定 是 否 审核 用 户 访问 某 个 对 象 ， 例 如 文件 、 文 件 来 、 注 册 表 项 、 打 印 
机 等 ， 它 们 都 指定 了 自己 的 系统 访问 控制 列表 (SACL) 的 事件 。 建 议 设置 为 “失败 ”; 

@ 审核 进程 跟踪 : 确定 是 否 审核 事件 的 详细 跟踪 信息 ， 例 如 程序 激活 、 进 程 退出 、 间 接 对 
象 访问 等 。 如 果 怀疑 系统 被 攻击 ， 可 启用 该 项 ， 系 统 默认 设置 为 “成 功 ”; 

a 审核 目录 服务 访问 : 确定 是 否 审核 用 户 访问 那些 指定 有 自己 的 系统 访问 控制 列表 
(SACL) 的 Active Directory 对 象 的 事件 。 启 用 后 会 在 域 控制 器 的 安全 日 志 中 生成 大 量 
审核 项 ， 因 此 只 有 在 确实 要 使 用 所 创建 的 信息 时 才 应 启用 。 系 统 默认 设 置 为 “成 功 ; 

到 审核 特权 使 用 :确定 是 否 对 用 户 行使 用 户 权限 的 每 个 实例 进行 审核 ,但 除 跳 过 遍历 检查 、 
调试 程序 、 创 建 标记 对 象 、 替 换 进 程 级 别 标记 、 生 成 安全 审核 、 备 份 文 件 和 目录 、 还 原 
文件 和 目录 等 权限 。 系 统 默认 为 “无 审核 ; 

昌 审核 系统 事件 : 用 于 确定 当 用 户 重新 启动 或 关闭 计算 机 时 , 或 者 对 系统 安全 或 安全 日 志 
有 影响 的 事件 发 生 时 , 是 否 予以 审核 。 这 些 事件 信息 是 非常 重要 的 ,所 以 建议 设置 为 “成 
功 ” 和 “失败 ”; 

m 审核 帐户 登录 事件 : 用 于 确定 当 用 户 登 录 到 其 他 计算 机 (该 计算 机 用 于 验证 其 他 计算 机 
中 的 帐户 ) 或 从 中 注销 时 ， 是 否 进行 审核 。 建 议 设置 为 “成 功 ” 和 “失败 ”; 

四 审核 帐户 管理 : 用 于 确定 是 否 对 计算 机 上 的 每 个 帐户 管理 事件 ， 如 重 命 名 、 禁 用 或 启 
用 用 户 帐 户 、 创 建 、 修 改 或 删除 用 户 帐 户 或 管理 事件 进行 审核 。 建 议 设置 为 “成 功 ” 
和 “失败 ”。 

Windows Server 2008 本 地 系统 审核 策略 的 配制 方法 ， 可 参考 本 书 “ 第 7 章 Windows 组 策 
略 ” 中 的 相关 介绍 。 审核 项 目 应 配置 得 当 , 如 果 审 核 项 目 过 多 , 不 仅 会 影响 服务 器 的 响应 速度 ， 
而 且 还 会 产生 大 量 的 日 志文 件 , 加重 管理 员工 作 负 担 。 如 果 审 核 项 目 不 足 , 无 法 准确 记录 恶意 
入 侵 和 攻击 情况 ， 降 低 系 统 安全 性 。 管 理 员 可 以 在 “事件 查看 器 ”中 “Windows 日 志 ” 下 的 
“安全 ”目录 中 查看 产生 的 安全 性 日 志 。 


13.1.4 审核 事件 ID 


事件 ID 是 Windows 事件 的 基本 属性 之 一 ， 在 Windows 事件 查看 器 中 ， 管 理 员 可 以 根据 
系统 为 不 同类 型 事件 定义 ID 值 ， 判 断 事件 的 类 型 和 主要 内 容 ， 筛 选 指定 类 型 或 ID 的 事件 等 。 
通过 事件 ID 可 以 清楚 地 了 解 对 服务 器 资源 的 非法 访问 和 黑客 的 非法 渗透 。 


1. 审核 帐户 登录 事件 
表 13.1 中 列 出 了 由 “审核 帐户 登录 事件 ”安全 策略 设置 所 生成 的 安全 事件 。 
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表 13.1 审核 帐户 登录 事件 


类 别 事件 DD 内 容 


凭据 验证 类 别 使 用 被 映射 帐户 进行 登录 


无 法 使 用 映射 帐户 进行 登录 


域 控制 器 党 试验 证 凭据 的 帐户 
域 控制 器 无 法 验证 凭据 的 帐户 


Kerberos 身份 验证 
服务 类 别 


请 求 Kerberos 身份 验证 票证 (TGT) 
Kerberos 预 身份 验证 失败 


Kerberos 身份 验证 票证 请 求 失败 


Kerberos 服务 票证 Kerberos 服务 票证 请 求 


操作 类 别 
2. 审核 帐户 管理 事件 
表 13.2 中 列 出 了 由 “审核 帐户 管理 ”安全 策略 设置 所 生成 的 安全 事件 。 
表 13.2 审核 帐户 管理 事件 


Kerberos 服务 票证 已 续 订 


类 别 事件 ID 内 容 
应 用 程序 组 管理 | 4783 基本 应 用 程序 组 已 创建 
4784 基本 应 用 程序 组 已 更 改 
4785 成 员 已 添加 到 基本 应 用 程序 组 
4786 成 员 已 从 基本 应 用 程序 组 删除 
4787 非 成 员 已 添加 到 基本 应 用 程序 组 
4788 成 员 被 从 基本 应 用 程序 组 中 删除 
4789 基本 应 用 程序 组 已 删除 
4790 已 创建 LDAP 查询 组 
计算 机 帐户 管理 | 4742 计算 机 帐户 已 更 改 
4743 计算 机 帐户 被 删除 
通讯 组 管理 4744 禁用 安全 的 本 地 组 已 创建 
4745 禁用 安全 的 本 地 组 已 更 改 
4746 成 员 已 被 添加 至 禁用 安全 的 本 地 组 
4747 成 员 已 从 禁用 安全 的 本 地 组 删除 
4748 禁用 安全 的 本 地 组 被 删除 
4749 禁用 安全 的 全 局 组 已 创建 
4750 禁用 安全 的 全 局 组 已 更 改 
4751 成 员 已 添加 至 禁用 安全 的 全 局 组 
4752 已 从 禁用 安全 的 全 局 组 删除 成 员 
4753 禁用 安全 的 全 局 组 已 删除 
4759 禁用 安全 的 通用 组 已 创建 
4760 禁用 安全 的 通用 组 已 更 改 
4761 成 员 已 添加 至 禁用 安全 的 通用 组 
4762 已 从 禁用 安全 的 通用 组 删除 成 员 
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( 续 表 ) 
类 别 事件 了 D 内 容 

其 他 帐户 管理 事件 | 4739 更 改 域 策略 

4782 访问 帐户 密码 哈 希 

4793 密码 策略 检查 API 调用 程序 
安全 组 管理 4727 安全 启用 全 局 组 已 创建 

4728 成 员 已 添加 至 启用 安全 的 全 局 组 

4729 从 安全 启用 全 局 组 已 删除 成 员 

4730 安全 启用 全 局 组 已 删除 

4731 安全 启用 本 地 组 已 创建 

4732 成 员 已 添加 至 启用 安全 的 本 地 组 

4733 成 员 已 从 启用 安全 的 本 地 组 删除 

4734 安全 启用 本 地 组 被 删除 

4735 安全 启用 本 地 组 已 更 改 

4737 安全 启用 全 局 组 已 更 改 

4754 安全 启用 通用 组 已 创建 

4755 安全 启用 通用 组 已 更 改 

4756 成 员 已 添加 至 启用 安全 的 通用 组 

4757 成 员 已 从 启用 安全 的 通用 组 删除 

4758 安全 启用 通用 组 已 删除 

4764 组 类 型 已 更 改 
用 户 帐户 管理 4720 创建 用 户 帐户 

4722 用 户 帐户 被 启用 

4723 试图 更 改 帐 户 的 密码 

4724 试图 重 置 帐户 的 密码 

4725 用 户 帐户 被 禁用 

4726 用 户 帐户 被 删除 

4738 用 户 帐户 已 更 改 

4740 用 户 帐户 被 锁定 

4765 SID 历史 添加 到 帐户 

4766 帐户 添加 SID 历史 的 尝试 失败 

4767 已 锁定 用 户 帐户 

4780 这 是 管理 员 组 的 成 员 帐 户 上 设置 ACL 

4781 帐户 的 名 称 已 更 改 

4794 被 试图 设置 目录 服务 还 原 模式 

5376 凭据 管理 器 凭据 被 备份 

5377 凭据 管理 器 凭据 已 从 备份 还 原 
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3. 审核 详细 跟踪 事件 


表 13.3 中 列 出 了 由 “审核 详细 跟踪 ”安全 策略 设置 所 生成 的 安全 事件 。 
表 13.3 ”审核 详细 跟踪 事件 


消息 


DPAPI 活动 尝试 数据 保护 主 密 钥 备份 


4693 尝试 对 数据 保护 主 密 钥 恢复 


尝试 保护 的 审计 保护 数据 
尝试 未 保护 的 审计 保护 数据 
已 创建 一 个 新 进程 


进程 创建 4688 


4696 主 令 牌 被 分 配给 处 理 


进程 中 止 
RPC 事件 


4. 审核 目录 服务 访问 事件 


进程 已 退出 
试图 远程 过 程 调用 (RPC) 


表 13.4 中 列 出 了 由 “审核 目录 服务 访问 ”安全 策略 设置 所 生成 的 安全 事件 。 


表 13.4 审核 目录 服务 访问 事件 


类 别 事件 ID 消息 

详细 目录 服务 复制 | 4928 建立 Active Directory 副本 源 命名 上 下 文 
4929 删除 Active Directory 副本 源 命名 上 下 文 
4930 修改 Active Directory 副本 源 命名 上 下 文 
4931 修改 Active Directory 副本 目标 命名 上 下 文 
4934 复制 Active Directory 对 象 的 属性 
4935 开始 复制 失败 
4936 结束 复制 失败 
4937 副本 延迟 对 象 删除 

目录 服务 访问 4662 对 象 上 进行 操作 

目录 服务 更 改 5136 修改 目录 服务 对 象 
5137 已 创建 目录 服务 对 象 
5138 目录 服务 对 象 是 未 删除 
5139 移动 目录 服务 对 象 
5141 删除 目录 服务 对 象 

目录 服务 复制 4932 Active Directory 命名 上 下 文 的 副本 同步 已 开始 
4933 Active Directory 命名 上 下 文 的 副本 同步 已 结束 


5. 审核 登录 /注销 事件 


表 13.5 中 列 出 了 “审核 登录 /注销 事件 ”安全 策略 设置 所 生成 的 安全 事件 。 
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表 13.5 审核 登录 /注销 事件 


类 别 


事件 了 D 


消息 


帐户 锁定 
IPSec 扩展 模式 


4625 
4978 


4979 


帐户 无 法 登录 

在 扩展 模式 协商 ，IPSec 收 到 一 个 无 效 协商 数据 包 。 如 果 问 题 仍然 
存在 ， 则 可 能 说 明 网 络 问题 或 者 试图 修改 或 重播 该 协商 

已 建立 IPSec 主 模式 和 扩展 模式 安全 关联 


4980 


已 建立 IPSec 主 模式 和 扩展 模式 安全 关联 


4981 
4982 


已 建立 IPSec 主 模式 和 扩展 模式 安全 关联 
已 建立 IPSec 主 模式 和 扩展 模式 安全 关联 


4983 


IPSec 扩展 模式 协商 失败 ， 相 应 的 主 模式 安全 关联 已 被 删除 


4984 


IPSec 扩展 模式 协商 失败 ， 相 应 的 主 模式 安全 关联 已 被 删除 


IPSec 主 模式 


IPSec 快速 模式 


注销 


4646 
4650 


4651 


4652 
4653 
4655 
4976 
5049 
5453 


4654 
4977 


IKE 预防 DoS 攻击 模式 启动 

已 建立 IPSec 主 模式 安全 关联 ， 没 有 启用 扩展 模式 ， 不 使 用 证 书 验 
证 
已 建立 IPSec 主 模式 安全 关联 ， 没 有 启用 扩展 模式 ， 证 书 用 于 身份 
验证 

IPSec 主 模式 协商 失败 

IPSec 主 模式 协商 失败 

IPSec 主 模式 安全 关联 结束 

在 主 模式 协商 过 程 中 ，IPSec 收 到 一 个 无 效 协商 数据 包 
删除 了 IPSec 安全 关联 

由 于 未 启动 IKE 和 IPSec Keying 模块 服务 ，IPSec 协商 与 远程 计算 
机 失败 

IPSec 快速 模式 协商 失败 

在 快速 模式 协商 过 程 中 ，IPSec 收 到 一 个 无 效 协商 数据 包 


5451 


已 建立 IPSec 快速 模式 安全 关联 


5452 
4634 
4647 


IPSec 快速 模式 安全 关联 结束 
帐户 被 注销 
用 户 启动 注销 


登录 


4624 


已 成 功 登录 帐户 


4625 
4648 
4675 


帐户 无 法 登录 
试图 使 用 明确 凭据 登录 
SID 被 筛选 


网 络 策略 服务 器 


6272 


网 络 策略 服务 器 授予 用 户 访问 权限 


6273 
6274 


网 络 策略 服务 器 用 拒绝 户 访问 
网 络 策略 服务 器 放弃 对 用 户 请 求 


6275 
6276 


网 络 策略 服务 器 丢弃 记 帐 请 求 的 用 户 
网 络 策略 服务 器 隔离 一 个 用 户 


6277 


网 络 策略 服务 器 授予 用 户 访问 ， 但 因为 主机 不 符合 定义 策略 而 被 阻止 
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( 续 表 ) 
类 别 事件 了 D 消息 
网 络 策略 服务 器 。 | 6278 主机 满足 网 络 策略 服务 器 定义 的 状况 策略 ， 授 予 完全 访问 
6279 由 于 重复 验证 失败 ， 网 络 策略 服务 器 锁定 用 户 帐户 
6280 网 络 策略 服务 器 取消 锁定 用 户 帐户 
其 他 登录 /注销 4649 检测 重播 攻击 
事件 4778 重新 会 话 已 连接 到 窗口 站 
4779 从 窗口 站 会 话 被 中 断 
4800 锁定 工作 站 
4801 是 锁定 工作 站 
4802 屏幕 保护 程序 被 调用 
4803 已 关闭 屏幕 保护 程序 
5378 请 求 凭据 委派 是 允许 通过 策略 
5632 对 到 无 线 网 络 进行 了 请 求 
5633 对 到 有 线 网 络 进行 了 请 求 
特殊 登录 4964 特殊 组 已 分 配给 新 登录 


6. 审核 对 象 访问 事件 
表 13.6 中 列 出 了 由 “审核 对 象 访问 ”安全 策略 设置 所 生成 的 安全 事件 。 
表 13.6 审核 对 象 访问 事件 


类 别 事件 ID 消息 
生成 应 用 程序 4665 一 个 试图 创建 一 个 应 用 程序 客户 端 上 下 文 
4666 应 用 程序 尝试 的 操作 

4667 删除 应 用 程序 客户 端 上 下 文 
4668 初始 化 应 用 程序 

证 书 服务 4868 证 书 管 理 员 拒绝 挂 起 证 书 请 求 
4869 证 书 服务 收 到 重复 提交 的 证 书 请 求 
4870 证 书 服务 吊销 证 书 
4871 证 书 服务 收 到 请 求 来 发 布 证 书 吊 销 列表 (CRL) 
4872 证 书 服务 发 行 证 书 吊 销 列表 (CRL) 
4873 更 改 证 书 申请 扩展 
4874 一 个 或 多 个 证 书 申请 属性 更 改 
4875 证 书 服务 接收 到 关闭 请 求 
4876 证 书 服务 备份 启动 
4877 证 书 服务 备份 完成 
4878 启动 证 书 服务 还 原 
4879 证 书 服务 还 原 完 成 
4880 证 书 服务 启动 
4881 证 书 服务 停止 
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( 续 表 ) 


类 别 


事件 了 D 


消息 


证 书 服务 


文件 共享 
文件 系统 子 类 别 


筛选 平台 连接 


筛选 平台 数据 包 
过 滤 
句柄 


4882 
4883 


对 于 证 书 服务 安全 权限 更 改 
证 书 服务 检索 存档 密 钥 


4884 
4885 


证 书 服务 导 证 书 入 其 数据 库 
对 于 证 书 服务 审核 筛选 器 更 改 


4886 
4887 


证 书 服务 收 到 证 书 请 求 
证 书 服务 批准 证 书 申请 并 颁发 证 书 


4888 
4889 


证 书 服务 拒绝 证 书 申请 
证 书 服务 设置 到 挂 起 证 书 请 求 的 状态 


4890 
4891 


证 书 管理 设置 对 于 证 书 服务 更 改 
证 书 服务 中 更 改 一 个 配置 项 


4892 
4893 


更 改 属性 的 证 书 服务 
证 书 服务 存档 了 密 钥 


4894 
4895 
4896 
4897 
4898 
5140 
664 
4985 
5051 
5031 
5154 
5155 


全 


证 书 服务 导入 和 存档 密 钥 

证 书 服务 CA 证 书 发 行 到 Active Directory 域 服务 

已 从 证 书 数据 库 删 除 一 个 或 多 行 

角色 分 离 启用 

证 书 服务 加 载 模板 

访问 网 络 共享 对 象 

一 个 试图 创建 硬 链接 

事务 的 状态 已 更 改 

文件 被 虚拟 化 

Windows 防火 墙 服务 阻止 应 用 程序 接受 传 入 连接 在 网 络 上 
Windows 过 滤 平 台 具 有 人 允许 应 用 程序 或 服务 以 端口 上 监听 传 入 连接 
Windows 过 滤 平 台 已 阻止 应 用 程序 或 服务 从 端口 上 监听 传 入 连接 


5156 


Windows 过 滤 平 台 具 有 人 允许 建立 连接 


5157 
5158 


Windows 过 滤 平台 已 阻止 建立 连接 
Windows 过 滤 平台 具有 人 允许 绑 定 到 本 地 端口 


5159 
5152 


Windows 过 滤 平 台 已 阻止 绑 定 到 本 地 端口 
Windows 过 滤 平 台 阻 止 数 据 包 


5153 
4656 


限制 性 Windows 过 滤 平 台 筛选 已 阻止 数据 包 
请 求 句柄 对 象 


4658 
4690 


关闭 该 控 点 来 关闭 对 象 
被 试图 复制 句柄 到 对 象 


其 他 对 象 访问 事件 


4671 
4691 


应 用 程序 试图 通过 TBS 访问 阻止 序号 
请 求 对 一 个 对 象 间接 访问 


4698 
4699 


创建 计划 任务 
删除 计划 任务 


4700 
4701 


已 启用 计划 任务 
计划 任务 被 禁用 
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( 续 表 ) 
类 别 事件 ID 消息 
其 他 对 象 访问 事件 | 4702 计划 任务 更 新 
5888 修改 COM+ 目 录 中 的 对 象 
5889 已 从 COM+ 目 录 删 除 对 象 
5890 对 象 被 添加 到 COM+ 目 录 
注册 表 4657 修改 注册 表 值 
5039 虚拟 化 注册 表 项 
Multi-use 特殊 子 ”| 4659 与 意向 来 删除 请 求 句柄 对 象 
类 别 4660 已 删除 对 象 
4661 请 求 句柄 对 象 
4663 试图 访问 对 象 
7. 策略 更 改 事件 


表 13.7 中 列 出 了 由 “策略 更 改 ” 安 全 策略 设置 所 生成 的 安全 事件 。 


表 13.7 策略 更 改 事件 


类 别 事件 ID 消息 
审核 策略 更 改 4715 更 改 对 象 上 审核 策略 (SACL) 
4719 更 改 系统 审核 策略 
4902 创建 用 户 审核 策略 表 
4904 被 试图 注册 安全 事件 源 
4905 被 试图 注销 安全 事件 源 
4906 CrashOnAuditFail 值 已 更 改 
4907 更 改 审 核 设 置 对 象 上 
4908 修改 特殊 组 登录 表 
4912 每 用 户 审核 策略 更 改 
验证 策略 更 改 4706 新 信任 创建 到 域 
4707 删除 对 域 信任 
4713 Kerberos 策略 已 更 改 
4716 修改 信任 域 信息 
4717 系统 安全 访问 已 授予 帐户 
4718 从 帐户 删除 系统 安全 访问 
4864 命名 空间 冲突 检测 
4865 添加 可 信 林 中 信息 项 
4866 删除 可 信 林 中 信息 项 
4867 修改 信任 林 信息 项 
授权 策略 更 改 4704 分 配 用 户 右 侧 
4705 右 用 户 被 删除 
4714 更 改 加 密 数 据 恢复 策略 


326 


第 13 章 审核 策略 与 事件 日 志 | 


( 续 表 ) 
类 别 事件 了 D 消息 
筛选 平台 策略 更 改 | 4709 IPSec 服务 已 启动 
4710 IPSec 服务 被 禁用 
4711 可 能 包含 下 列 之 一 : 
PAStore 引擎 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 是 本 
地 缓存 副本 ; 
PAStore 引擎 在 计算 机 上 应 用 了 Active Directory 存储 IPSec 策略 ; 
PAStore 引擎 在 计算 机 上 应 用 了 本 地 注册 表 存 储 IPSec 策略 ; 
PAStore 引擎 无 法 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 
副本 ; 
PAStore 引擎 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 失败 ; 
PAStore 引擎 在 计算 机 上 应 用 本 地 注册 表 存储 IPSec 策略 失败 ; 
PAStore 引擎 无 法 在 计算 机 上 应 用 某 些 规则 的 活动 IPSec 策略 ; 
PAStore 引擎 无 法 加 载 目录 存储 IPSec 策略 在 计算 机 上 ; 
PAStore 引擎 加 载 目录 存储 IPSec 策略 在 计算 机 上 ; 
PAStore 引擎 无 法 加 载 本 地 存储 IPSec 策略 在 计算 机 上 ; 
PAStore 引擎 加 载 本 地 存储 IPSec 策略 在 计算 机 上 ; 
PAStore 引擎 轮 询 以 了 解 对 活动 IPSec 策略 更 改 ， 检测 任何 更 改 
4712 IPSec 服务 遇 到 可 能 严重 错误 
5040 IPSec 设置 已 经 更 改 。 添 加 一 个 验证 设置 
5041 IPSec 设置 已 经 更 改 。 验 证 设置 了 修改 
5042 IPSec 设置 已 经 更 改 。 验 证 设置 一 个 被 删除 
5043 IPSec 设置 已 经 更 改 。 添 加 连接 安全 规则 
5044 IPSec 设置 已 经 更 改 。 修 改 连接 安全 规则 
5045 IPSec 设置 已 经 更 改 。 删 除 连接 安全 规则 
5046 IPSec 设置 已 经 更 改 。 添 加 加 密 设置 
5047 IPSec 设置 已 经 更 改 。 加 密 设置 被 修改 
5048 IPSec 设置 已 经 更 改 。 加 密 设置 被 删除 
5440 下 列 标注 为 Windows 筛选 平台 类 别 ， 在 筛选 引擎 启动 时 显示 
5441 下 列 筛选 器 是 Windows 筛选 平台 类 别 ， 在 筛选 引擎 启动 时 显示 
5442 下 列 提供 程序 是 Windows 筛选 平台 类 别 ， 在 筛选 引擎 启动 时 显示 
5443 以 下 提供 上 下 文 是 Windows 筛选 平台 类 别 , 在 筛选 引擎 启动 时 显示 
5444 下 列子 层 是 Windows 筛选 平台 类 别 ， 在 筛选 引擎 启动 时 显示 
5446 Windows 过 滤 平 台 标注 已 更 改 
5448 Windows 过 滤 平 台 提供 程序 已 更 改 
5449 Windows 过 滤 平 台 提供 上 下 文 已 更 改 
5450 Windows 过 滤 平 台子 层 已 更 改 
5456 PAStore 引擎 在 计算 机 上 应 用 了 Active Directory 存储 IPSec 策略 
5457 PAStore 引擎 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 失败 
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( 续 表 ) 
类 别 事件 ID 消息 
筛选 平台 策略 更 改 | 5458 PAStore 引擎 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 是 本 
地 缓存 副本 
5459 PAStore 引擎 无 法 在 计算 机 上 应 用 Active Directory 存储 IPSec 策略 
是 本 地 缓存 副本 
5460 PAStore 引擎 在 计算 机 上 应 用 了 本 地 注册 表 存储 的 IPSec 策略 
5461 PAStore 引擎 在 计算 机 上 应 用 本 地 注册 表 存储 的 IPSec 策略 失败 
5462 PAStore 引擎 无 法 在 计算 机 上 应 用 某 些 规则 的 活动 IPSec 策略 。 使 用 
卫 安全 监视 器 管理 单元 来 诊断 问题 
5463 PAStore 引擎 轮 询 对 活动 IPSec 策略 更 改 ， 检 测 任何 更 改 
5464 PAStore 引擎 轮 询 对 活动 IPSec 策略 更 改 ， 检测 更 改 ， 并 将 其 应 用 
到 IPSec 服务 
5465 PAStore 引擎 接收 用 于 强制 重新 加 载 IPSec 策略 的 控件 和 成 功 处 理 
控件 
5466 PAStore 引擎 对 Active Directory IPSec 策略 进行 轮 询 ，Active 
Directory 无 法 使 用 Active Directory IPSec 策略 的 缓存 副本 更 改 。 无 
法 应 用 上 次 轮 询 后 对 Active Directory IPSec 策略 的 任何 更 改 
5467 PAStore 引擎 对 Active Directory IPSec 策略 进行 轮 询 ，Active 
Directory 可 以 获得 所 有 策略 更 改 。Active Directory IPSec 策略 的 组 
存 副本 不 再 被 使 用 
5468 PAStore 引擎 通过 轮 询 了 解 Active Directory IPSec 策略 更 改 ， 确 定 
Active Directory 可 被 访问 ， 找 到 对 策略 ， 并 应 用 这 些 更 改 。Active 
Directory IPSec 策略 的 缓存 副本 不 再 被 使 用 
5471 PAStore 引擎 加 载 本 地 存储 IPSec 策略 在 计算 机 上 
5472 PAStore 引擎 无 法 加 载 本 地 存储 IPSec 策略 在 计算 机 上 
5473 PAStore 引擎 加 载 目录 存储 IPSec 策略 在 计算 机 上 
5474 PAStore 引擎 无 法 加 载 目录 存储 IPSec 策略 在 计算 机 上 
5477 PAStore 引擎 无 法 添加 快速 模式 筛选 器 
MPSSVC 规则 - | 4944 Windows 防火 墙 启动 时 下 列 策略 处 于 活动 
级 别 策略 更 改 4945 Windows 防火 墙 启动 时 被 列 出 规则 
4946 Windows 防火 墙 例 外 列表 已 被 进行 更 改 ， 添 加 规则 
4947 Windows 防火 墙 例外 列表 已 被 进行 更 改 ， 修 改 规则 
4948 Windows 防火 墙 例 外 列表 已 被 进行 更 改 ， 删 除 规则 
4949 Windows 防火 墙 设置 已 还 原 到 默认 值 
4950 Windows 防火 墙 设置 已 经 更 改 
4951 规则 已 忽略 因为 通过 Windows 防火 墙 无 法 识别 其 主 版 本 号 
4952 由 于 通过 Windows 防火 墙 无 法 识别 其 次 要 版 本 号 部 分 规则 已 被 忽 
略 ， 将 强制 规则 的 其 他 部 分 
4953 因为 无 法 解析 规则 ， 已 忽略 通过 Windows 防火 墙 
4954 Windows 防火 墙 组 策略 设置 已 更 改 ， 已 应 用 新 设置 
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( 续 表 ) 
类 别 事件 了 消息 
MPSSVC 规则 - 级 | 4956 Windows 防火 墙 已 更 改 活动 配置 文件 
别 策略 更 改 Windows 防火 墙 未 应 用 以 下 规则 


由 于 规则 引用 此 计算 机 上 没有 配置 项 目 没有 Windows 防火 墙 采用 
以 下 规则 
更 改 用 于 TBS 本 地 策略 设置 
更 改组 策略 设置 TBS 

5063 试图 提供 加 密 操作 

5064 试图 加 密 上 下 文 操作 

试图 加 密 上 下 文 修改 

5066 试图 加 密 函 数 操作 

试图 加 密 函 数 修改 

试图 为 加 密 函数 提供 操作 

试图 加 密 函 数 属性 

试图 加 密 函数 属性 修改 

Windows 过 滤 平 台 筛选 已 被 更 改 

| 6144 ”| 成功 应 用 了 组 策略 对 象 中 安全 策略 

一 个 或 多 个 处 理 安全 策略 组 策略 对 象 中 时 出 错 
Multuse 特殊 子 类 别 更 改 对 象 上 的 权限 


8. 审核 特权 使 用 事件 


其 他 策略 更 改 事件 


表 13.8 中 列 出 了 由 “审核 特权 使 用 ”安全 策略 设置 所 生成 的 安全 事件 。 
表 13.8 审核 特权 使 用 事件 


敏感 特权 使 用 / | 4672 
非 敏 感 特 权 使 用 


特殊 权限 赋予 新 登录 
特权 服务 调用 
试图 在 特权 对 象 操作 


9. 审核 系统 事件 
表 13.9 中 列 出 了 由 “审核 系统 事件 ”安全 策略 设置 所 生成 的 系统 事件 。 
表 13.9 审核 系统 事件 


IPSec 驱动 程序 IPSec 丢弃 传 入 数据 包 完整 性 检查 失败 。 如 果 问 题 仍然 存在 ， 则 可 
能 表明 网 络 问题 或 该 数据 包 被 修改 传输 到 此 计算 机 中 。 验 证 从 远程 
计算 机 发 送 数据 包 是 否 与 由 此 计算 机 接收 相同 。 此 错误 可 能 也 表明 
他 IPSec 实现 互 操作 问题 

IPSec 丢弃 传 入 数据 包 重播 检查 失败 。 如 果 问 题 仍 然 存在 ， 则 可 能 
表明 本 机 重播 攻击 
IPSec 丢弃 传 入 的 数据 包 重播 检查 失败 消息 


4961 
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( 续 表 ) 


类 别 


事件 D 


内 容 


IPSec 驱动 程序 


其 他 系统 事件 


安全 状态 更 改 
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IPSec 丢弃 应 该 已 被 保护 的 入 站 明文 数据 包 。 这 通常 是 由 于 到 远程 
计算 机 更 改 其 IPSec 策略 没有 通知 此 计算 机 。 这 也 可 能 是 欺骗 攻击 
尝试 


4965 


5478 


IPSec 从 远程 计算 机 与 一 个 正确 安全 参数 索引 (SPD 收 到 一 个 数据 
包 。 这 通常 由 数据 包 被 破坏 ， 硬 件 故障 。 如 果 持 续 ， 这 些 错误 验证 
从 远程 计算 机 发 送 数据 包 是 否 与 由 此 计算 机 接收 相同 。 此 错误 也 可 
能 表明 其 他 IPSec 实现 互 操 作 问 题 。 这 时 ， 如 果 连 接 性 是 畅通 的 ， 
这 些 事件 可 被 忽略 
IPSec 服务 成 功 启动 


5479 


5480 


5483 


5484 


5485 


5024 


5025 


5027 


5028 


IPSec 服务 已 成 功 关闭 。 关 闭 对 IPSec 服务 可 使 计算 机 更 危险 的 网 络 
攻击 或 者 将 计算 机 暴露 给 潜在 安全 风险 

IPSec 服务 无 法 获取 完整 的 计算 机 上 网 络 接口 列表 。 会 因为 某 些 网 
络 接口 的 可 能 无 法 获得 通过 应 用 IPSec 筛选 器 提供 保护 这 带 来 潜在 
安全 风险 。 使 用 IP 安全 监视 器 管理 单元 来 诊断 问题 

IPSec 服务 无 法 初始 化 RPC 服务 器 。IPSec 服务 无 法 启动 

IPSec 服务 遇 到 一 个 关键 性 失败 , 已 关闭 。 关闭 对 IPSec 服务 可 使 计 
算 机 更 危险 的 网 络 攻击 或 者 将 计算 机 暴露 给 潜在 安全 风险 

IPSec 服务 无 法 处 理 某 些 IPSec 筛选 器 对 即 插 即 用 事件 对 网 络 接口 。 
会 因为 某 些 网 络 接口 的 可 能 无 法 获得 通过 应 用 IPSec 筛选 器 提供 保 
护 这 带 来 潜在 安全 风险 。 使 用 IP 安全 监视 器 管理 单元 来 诊断 问题 
Windows 防火 墙 服务 成 功 启动 

Windows 防火 墙 服务 已 停止 

Windows 防火 墙 服务 无 法 从 本 地 存储 器 检索 安全 策略 。 服 务 将 继续 
强制 当前 策略 

Windows 防火 墙 服务 无 法 分 析 新 安全 策略 。 服 务 将 继续 与 当前 实施 
策略 


5029 


5030 


Windows 防火 墙 服务 无 法 初始 化 驱动 程序 。 服 务 将 继续 以 强制 当前 
策略 
Windows 防火 墙 服务 无 法 启动 


5032 


Windows 防火 墙 无 法 通知 用 户 它 阻止 应 用 程序 接受 传 入 连接 在 
网 络 上 


5033 


Windows 防火 墙 驱动 程序 成 功 启动 


5034 
5035 


Windows 防火 墙 驱 动 程序 已 停止 
Windows 防火 墙 驱 动 程序 无 法 启动 


5037 


Windows 防火 墙 驱动 程序 检测 到 关键 运行 错误 。 终 止 


5058 


密 钥 文件 操作 


5059 
4608 


密 钥 迁移 操作 
正在 启动 Windows 


4609 


关闭 Windows 
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( 续 表 ) 
类 别 事件 了 D 内 容 
安全 状态 更 改 4616 更 改 系统 时 间 
4621 管理 员 从 审核 失败 状态 恢复 系统 。 用 户 不 是 管理 员 用 户 现在 允许 进 
行 登录 。 某 些 审核 活动 可 能 没有 已 记录 
安全 系统 扩展 4610 通过 本 地 安全 机 构 验证 包 被 加 载 
4611 已 使 用 本 地 安全 机 构 注 册 可 信 登 录 过 程 
4614 通知 包 被 加 载 安全 帐户 管理 器 
4622 通过 本 地 安全 机 构 被 加 载 安全 程序 包 
4697 系统 中 已 安装 服务 
系统 完整 性 4612 已 用 内 部 资源 分 配给 的 审核 消息 队列 通 向 丢失 菜 些 审核 完 
4615 无 效 使 用 LPC 端口 
4618 监视 安全 事件 图 案 发 生 
4816 RPC 检测 解密 传 入 消息 时 完整 性 冲突 
5038 代码 完整 性 确定 该 图 像 的 文件 哈 希 无 效 。 文 件 可 能 是 因 受 到 未 经 授 
权 修 改 而 损坏 ， 或 无 效 哈 希 运 算 错误 
5056 执行 自 检 加 密 
5057 加 密 基 元 操作 失败 
5060 验证 操作 失败 
5061 加 密 操作 
5062 执行 内 核 模式 加 密 自 检 


13.1.5 ”优化 审核 策略 


要 保证 审核 有 效 进行 ,必须 配置 既 能 够 生成 用 户 需要 的 事件 ,又 能 够 生成 有 助 于 管理 最 终 
日 志 的 事件 策略 。 如 果 没 有 正确 设置 审核 策略 , 将 可 能 导致 生成 大 量 事件 。 因此 与 其 他 安全 策 
略 一 样 ， 要 通过 要 分 析 用 户 最 关心 的 安全 威胁 , 配置 正确 的 策略 来 减 小 威胁 ， 才 会 得 到 最 有 效 
的 结果 。 

审核 策略 的 许多 设置 看 起 来 都 很 好 ， 将 其 全 部 选择 似乎 没有 什么 不 妥 。 然 而 ，Windows 
有 可 能 会 产生 更 多 用 户 无 法 管理 的 审核 , 所 以 正确 的 选择 能 够 减少 安全 威胁 , 并 且 简化 审核 的 
工作 量 。 在 选择 了 审核 策略 之 后 ， 推 荐 先 在 少数 计算 机 上 试用 ， 以 检查 安全 日 志 容量 ， 如 果 容 
量 比 想 象 中 的 要 大 ， 就 要 考虑 更 换 审 核 设置 了 。 确 认 无 误 之 后 ， 再 大 规模 部 署 。 

在 Windows Server 2008 中 系统 中 ， 管 理 员 可 以 通过 事件 查看 器 检测 是 哪些 策略 设置 引起 
的 审核 容量 。 事 件 查看 器 窗口 允许 用 户 使 用 任务 类 别 〈 也 就 是 子 类 别 )、 事 件 源 、 事 件 ID 以 
及 其 他 属性 来 将 事件 分 组 ， 并 显示 每 组 的 总 数 ， 如 图 13.7 所 示 。 如 果 看 到 了 一 个 大 容量 事件 ， 
可 以 多 检查 几 个 有 关 事件 ， 以 发 现 更 多 有 用 的 信息 。 和 否则， 就 应 考虑 禁用 生成 该 事件 的 策略 。 

选择 了 审核 策略 之 后 ， 经 过 了 测试 和 转换 后 ， 就 做 好 了 配置 的 准备 工作 。 
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图 13.7 事件 查看 器 通过 任务 类 别 将 安全 事件 分 组 


13.2 系统 事件 和 事件 查看 器 


通常 情况 下 ， 任 何 系统 属性 更 改 、 运 行 状态 的 改变 、 应 用 程序 的 运行 和 停止 ， 都 会 自动 生 
成 对 应 的 系统 事件 日 志 。 对 于 普通 用 户 而 言 ， 可 能 很 少 关注 这 些 细心 , 但 对 于 服务 器 系统 管理 
员 而 言 ， 这 些 信息 是 非常 重要 的 ， 直 接 决定 服务 器 的 稳定 性 、 安 全 性 和 可 靠 性 。 在 Windows 
Server 2008 系统 中 ， 管 理 员 可 以 通过 事件 查看 器 ， 查 看 、 分 析 和 解读 系统 事件 日 志 ， 以 便 从 
中 发 现 问 题 ， 及 时 制定 解决 问题 的 方案 。 


13.2.1 Windows Server 2008 安全 事件 新 特点 


与 以 前 版 本 的 Windows 系统 相 比 ，Windows Server 2008 系统 的 安全 事件 日 志 进行 了 一 些 
改进 。 最 显著 的 变动 就 是 事件 ID 号 都 被 重新 排序 。Windows Serve 2008 中 的 安全 事件 的 事件 
ID 一 般 要 比 Windows Server 2003 中 的 高 4096。 例 如 登录 成 功 事 件 ， 在 Windows Server 2003 
中 JID 号 为 328， 在 Windows Server 2008 中 为 事件 4624 (528+4096=4624)。 另 外 ， 事 件 查 看 
器 中 的 事件 属性 信息 内 容 有 所 变化 。 

Windows Server 2008 系统 安全 事件 的 改进 主要 表现 在 以 下 方面 : 


m 事件 的 布局 安排 发 生 了 变化 , 使 得 定位 要 查找 的 信息 更 加 方便 了 。 并 且 出 于 显示 目的 将 
相似 的 信息 分 组 ; 

多 数 事 件 添加 了 主题 用 来 代替 用 户 的 作用 。 主题 是 指 用 于 生成 事件 的 帐户 , 也 是 执行 审 
核 活动 的 帐户 。 需 要 注意 的 是 ,这 种 情况 下 是 本 地 系统 ， 因 为 该 活动 不 是 “登录 一 个 用 
户 ”， 而 是 “登录 一 个 用 户 帐户 ”。 一 个 作为 本 地 系统 (WinLogon) 运行 的 进程 要 求 该 
登录 。 关 于 登录 用 户 的 信息 ， 则 会 显示 在 另外 的 区 域 ; 

m 事件 包含 计算 机 友好 相关 区 域 和 用 户 友 好 区 域 , 例如， 进程 ID (PID) 与 进程 完整 路 径 
是 在 一 起 的 ; 
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四 事件 查看 器 会 显示 两 次 用 户 帐 户 名 ， 每 个 帐户 的 第 一 个 例证 都 存储 为 安全 标识 符 
(SID), 第 二 个 例证 存储 为 名 称 。 事 件 查 看 器 会 自动 将 SID 转译 为 帐户 名 。 然 而 ， 由 于 
名 称 是 以 明文 的 形式 存储 的 ， 如 果 查 看 另 一 台 未 经 备份 或 帐户 已 被 删除 的 计算 机 的 日 
志 ， 仍 可 看 到 该 名 称 〈 和 转换 的 SID)。 在 以 前 的 版 本 中 ， 名 称 查找 错误 是 许多 安全 日 
志 分 析 失败 的 原因 ; 

增加 了 附加 信息 ， 如 果 以 NTLM 登录 , 就 会 列 出 与 NTLM 配套 的 协议 (LM, NTLM V1， 
或 NTLM V2) ， 如 果 已 应 用 了 NTLMv2 会 话 密 钥 ， 就 会 列 出 密 钥 的 长 度 。 


13.2.2 系统 事件 类 型 


Windows 操作 系统 中 定义 了 6 种 事件 类 型 ， 系 统管 理 员 可 以 根据 关注 的 事件 性 质 筛选 希 
望 查看 的 事件 。 表 13.10 显示 了 Windows 系统 定义 的 事件 类 型 ， 及 每 个 事件 类 型 的 具体 含义 。 


表 13.10 事件 类 型 及 描述 


事件 类 型 描述 
人 指明 出 现 了 问题 ， 这 可 能 会 影响 触发 事件 的 应 用 程序 或 组 件 外 部 的 功能 。 例 如 ， 如 果 在 启动 
过 程 中 某 个 服务 加 载 失败 ， 将 会 记录 “错误 ”事件 

ee 指明 出 现 的 问题 可 能 会 影响 服务 器 或 导致 更 严重 的 问题 (如果 未 采取 措施 ) 。 例 如 ， 当 磁盘 
了 空间 不 足 时 ， 将 会 记录 “警告 " 事件 

信息 指明 应 用 程序 或 组 件 发 生 了 更 改 ， 如 操作 成 功 完成 、 已 创建 了 资源 ， 或 已 启动 了 服务 

关键 指明 出 现 了 故障 ， 导 致 名 发 事件 的 应 用 程序 或 组 件 可 能 无 法 自动 恢复 

， 指明 出 现 了 故障 ， 导 致 触发 事件 的 应 用 程序 或 组 件 可 能 无 法 自动 恢复 

审核 失败 ”| 指明 用 户 权限 练习 失败 


提示 “Success Audit” 和 “审核 失败 ”类 型 事件 属于 严重 安全 级 别 ， 可 能 出 现在 安全 日 


及 +, 
13.2.3 事件 查看 器 的 应 用 


Windows 事件 查看 器 的 主要 功能 就 是 为 管理 员 提供 简洁 、 快 速 的 时 间 浏 览 界面 。Windows 
Server 2008 系统 中 新 增 了 “ 自 定义 视图 ”和 “应 用 程序 和 服务 日 志 ” 功 能 ， 并 且 在 “Windows 
日 志 ” 中 添加 了 “安装 程序 ”和 “转发 的 事件 ”查看 功能 ， 极 大 提高 了 网 络 管理 员 的 工作 效率 。 
Windows Server 2008 系统 的 事件 查看 器 ， 可 以 用 来 查看 系统 以 及 网 络 服务 产生 的 日 志 记 录 信 
息 ， 比 Windows Server 2003 事件 查看 器 的 功能 强大 了 许多 。 
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1. 查看 事件 信息 


通过 Windows Server 2008 系统 的 事件 查看 器 ， 可 以 管理 服务 器 角色 日 志 、Windows 系统 
日 志和 应 用 程序 日 志 。 事 件 日 志 中 记录 了 事件 发 生 的 时 间 、 事 件 来 源 、 用 户 帐户 、 操 作 代码 及 
了 解 详细 相关 信息 的 超级 链接 ,管理 员 通过 这 些 信息 可 以 快速 判断 服务 器 或 应 用 程序 是 否 存在 
故障 或 安全 隐患 。 在 Windows Server 2008 系 统 中 ,事件 日 志 详 细 信 息 的 基础 结构 完全 符合 XML 
架构 ， 且 可 以 访问 代表 给 定 事件 的 XML。 这 也 是 Windows Server 2008 区 别 于 Windows Server 
2003 的 主要 方面 之 一 。 


@1 打开 “事件 查看 器 ”窗口 ， 在 左 侧目 录 栏 中 展开 ”02 双击 其 中 的 任何 一 个 日 志 ， 便 可 查看 详细 信息 。 
希望 查看 和 管理 的 事件 日 志 类 别 ， 如 “Windows 日 ”在 日 志 属性 窗口 中 ， 可 以 看 到 事件 发 生 的 日 期 ， 事 件 
志 ” 一 “安全 ” 如 图 13.8 所 示 。 系 统 默认 已 经 启动 ”发 生 的 源 ， 事 件 发 生 的 种 类 和 1D， 以 及 事件 的 详细 的 
“预览 窗 格 ” 功 能 ， 即 在 事件 列表 中 选择 时 间 后 ， 将 ”描述 ,这 些 信息 有 助 于 帮助 系统 管理 员 解决 安全 问题 。 
自动 显示 相应 预览 信息 。 如 图 13.9 所 示 是 打开 一 个 审核 失败 的 安全 事件 。 


br 
lt 
3 


图 13.8 “事件 查看 器 ”窗口 图 13.9 “事件 属性 ”对 话 框 


3 单 击 “ 详 细 信息 ”切换 至 如 图 13.10 所 示 “详细 信 上 4 选择 “XML 视图 ” 单 选 按钮 ， 即 可 以 XML 视 
息 ” 选 项 卡 ， 系 统 默认 是 以 “友好 视图 ”方式 显示 的 。 ”方式 显示 事件 详细 信息 ， 如 图 13.11 所 示 。 


Wdows Secunty-Audr -AEvent 
. bry nt eye er ee ):/ /schemas.microsoft.com /win/2004/08/events/@v' 
EventlD S012 Provider Name Microsoft-Windows-Security-Auditing" 
ve 了 | Guid="{54849625-5478-4994-a5ba 器 
i 3 28c30d]” /> 二 
» Ns | 
让 加 名 虽 
要 <Task>12292</Task> 
ae aonnooxoooo <opc > 
vi ymards >0x8010000000000000</eywords> 
SstemTime 2008-06-20T03S107 1527 ee 昌 
vertaecario io J 4 a 
Sm | Ra Es X40 
图 13.10 友好 视图 图 13.11 XML 视图 


05 单 击 “ 关 闭 ” 按钮， 关闭 “事件 属性 ”对 话 框 即 可 。 
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2. 将 任务 附加 到 事件 


Windows Server 2008 系统 的 事件 查看 器 新 增 了 通知 、 提 醒 功能 ， 通 过 将 计划 任务 附加 到 
指定 类 型 的 事件 ， 系 统 即 可 自动 以 某 种 方式 通知 用 户 ， 如 发 送 E-mail 邮件 、 弹 出 提示 信息 、 
开启 程序 等 。 可 以 选择 一 类 系统 事件 作为 关联 对 象 , 也 可 以 选择 单个 事件 进行 关联 。 将 任务 附 
加 到 一 类 事件 的 具体 操作 步骤 如 下 : 

01 在 “事件 查看 器 ”窗口 中 ， 右 击 “ 安 装 程序 ”( 此 处 以 “安装 程序 ”类 别 的 Windows 事件 为 例 ) ， 并 选 

择 快 捷 菜 单 中 的 “将 任务 附加 到 事件 ” 启动 “创建 基本 任务 向 导 ”。 依 次 单 击 “ 下 一 步 ”按钮 ， 设 置 任 

务 名 称 使 用 系统 默认 名 称 和 操作 类 型 ， 如 图 13.12 所 示 。 在 “操作 ”对 话 框 中 ， 选 择 “ 发 送 电子 邮件 ” 

单 选 按钮 。 


和 


0 |Fen] wm 


图 13.12 设置 任务 名 称 和 操作 类 型 


回 miss 

二 Ca 
0 2 单 击 “ 下 一 步 ” 按钮 ， 显 示 如 图 13.13 所 示 “发 。 5 = = 一 
送 电子 邮件 ”对 话 框 。 在 “发 件 人 ”和 “ 收 件 人 ” 文 ~ i 


本 框 中 , 输入 希望 使 用 的 E-mail 邮箱 地 址 。 在“ 正文” 
文本 框 中 ， 可 以 输入 简短 的 描述 信息 ， 告 知 用 户 发 送 
此 邮件 的 目的 。 


se | 
SEA 


< 上 加 了 
图 13.13 “发 送 电子 邮件 ”对 话 杠 
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0 3 单 击 “ 下 一 步 " 按钮 ， 显示 如 图 13.14 所 示 “ 摘 
要 ”对 话 框 , 提示 当前 已 做 的 所 有 设置 。 如 果 选 中 “ 单 
击 “完成 ' 时 , 打开 此 任务 属性 的 对 话 框 ” 复 选 框 , 关 
闭 “ 创 建 基 本 任务 向 导 ” 后 ， 可 以 立即 查看 和 编辑 其 
属性 设置 。 


图 13.14 “摘要 ”对 话 框 
04 单 击 “完成 ” 按钮 ,打开 如 图 13.15 所 示 “ 事 件 
查看 器 ”提示 框 ， 提 示 计划 任务 已 创建 完成 ， 可 以 在 @ Fs es 
“任务 计划 程序 ”中 查看 和 编辑 计划 的 任务 。 


图 13.15 “事件 查看 器 ”提示 框 
05 单 击 “ 确 定 ”按钮 ， 关 闭 即 可 。 
注意 “让 Windows Server 2008 条 统 中 ,可 以 通过 依次 单 击 “ 开 始 ”一 “管理 工具 ”“ 任 
务 计划 程序 ”"， 打 开 “ 任 务 计划 程序 ”窗口 ， 在 这 里 管理 员 可 以 对 系统 中 所 有 的 计 


划 任务 进行 配置 和 管理 。 在 “事件 查看 器 ”中 创建 的 任务 关联 也 会 显示 在 这 里 ， 如 
图 13.16 所 示 。 


图 13.16 “任务 计划 程序 ”窗口 


通过 “创建 基本 任务 向 导 ” 创 建 的 任务 关联 计划 ， 默 认 只 能 设置 单一 的 “触发 器 〈 即 执行 
任务 的 条 件 )” 和 “动作 ”。 例 如 在 “任务 计划 程序 ”窗口 中 ， 双 击 已 创建 的 关联 任务 计划 〔 以 
setup 为 例 )， 打 开 “Setup 属性 ”对 话 框 ， 在 “操作 ”选项 卡 中 ， 单 击 “ 新 建 ”按钮 ， 打 开 “ 新 
建 操作 ”对 话 框 ， 在 “操作 ”下 拉 列 表 中 ， 继 续 选择 希望 执行 的 操作 类 型 即 可 ,如 图 13.17 所 示 。 
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图 13.17 设置 希望 执行 的 操作 


3. 导出 和 导入 日 志 


如 果 Windows 服务 器 的 访问 量 非常 大 ， 每 天 产生 的 日 志文 件 大 小 也 是 非常 惊人 的 ， 尽 管 
安装 Windows 系统 和 网 络 服务 时 ， 已 经 选择 了 安全 可 靠 的 日 志保 存 目录 ， 但 为 了 确保 日 志文 
件 的 完整 、 安 全 ， 应 适时 将 其 备份 至 安全 性 较 高 的 存储 介质 ， 如 光盘 或 其 他 文件 服务 器 等 ， 以 
免 由 于 系统 故障 或 日 志文 件 自动 覆盖 ， 而 丢失 重要 信息 。Windows Server 2008 系统 中 ， 导 出 
日 志文 件 的 操作 步骤 如 下 〈 以 Windows 安全 事件 日 志 为 例 ): 


0 1 在 “事件 查看 器 ”窗口 中 展开 “Windows 日 志 ”， 在 导航 栏 中 右 击 希 望 导 出 的 时 间 类 型 ， 此 处 以 “安全 ” 
事件 为 例 ， 如 图 13.18 所 示 。 

2 选择 快捷 菜单 中 的 “将 事件 另存 为 ”打开 如 图 13.19 所 示 “ 另 存 为 ”对 话 框 。 如 果 导出 “ 自 定义 视图 ” 
中 的 服务 器 角色 日 志文 件 ， 需 要 选择 快捷 菜单 中 的 “ 讲 自 定义 视图 中 的 事件 另存 为 "。 在 “文件 名 ” 文 
本 框 中 输入 日 志文 件 的 名 称 , 在 “保存 类 型 ”下拉 列表 中 ,选择 导出 日 志文 件 的 格式 , 系统 默认 为 *.evtx， 
此 外 还 支持 *Xxml、* txt 和 *.csv 格式 。 其 中 只 有 *.evtx 日 志文 件 ， 才 可 以 在 “事件 查看 器 ”中 重新 打开 。 

如 果 把 日 志 存档 为 文本 (*:txt) 或 喜 号 分 隔 的 格式 (*.csv) ， 可 以 在 文字 处 理 或 电子 表格 之 类 的 其 他 程 

序 (而 不 是 “事件 查看 器 ”) 中 重新 打开 日 志 ， 建 议 使 用 系统 默认 文件 格式 。 


图 13.18 选择 希望 导出 的 事件 类 型 图 13.19 “另存 为 ”对 话 框 
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提示 。*.evtx 是 Windows Vista 和 Windows Server 2008 系统 的 新 文件 格式 ,与 早期 Windows 

4 系统 中 的 *.evt 文件 相同 。 需 要 注意 的 是 ，*.evix 文件 只 能 在 Windows Vista 和 
Windows Server 2008 系统 的 “事件 查看 器 ”中 打开 。Windows Server 2008 事件 查 
看 器 可 以 兼容 Windows Server 2003 系统 中 导出 的 日 志文 件 。 


[03 单 击 “ 保 存 ”按钮 ， 打 开 如 图 13.20 所 示 “ 显 示 信息 ” 对 话 框 ， 系 统 默认 选择 “没有 显示 信息 ” 单 选 按 
钮 ， 此 时 导出 日 志 只 能 在 本 地 计算 机 或 与 本 地 计算 机 语言 类 型 相同 的 其 他 计算 机 上 打开 。 如 果 希 望 此 日 
志 可 以 在 其 他 系统 中 查看 ， 需 要 选择 “显示 这 些 语言 的 信息 ” 单 选 按钮 ， 并 在 列表 框 中 选择 与 指定 计算 
机 系统 匹配 的 语言 类 型 。 选中 “显示 所 有 可 用 的 语言 ” 复 选 框 ， 即 可 显示 当前 系统 支持 的 所 有 语言 类 型 。 

04 单 击 “确定 ”按钮 ， 保 存 日 志 。 

0 5 在 其 他 计算 机 的 “事件 查看 器 ”窗口 中 ， 右 击 导航 栏 中 的 任意 项 目 ， 并 选择 快捷 菜单 中 的 “打开 保存 的 
日 志 ”， 打开 如 图 13.21 所 示 “ 打 开 保存 的 文件 ”对 话 框 ， 选 择 希望 导入 的 目标 文件 即 可 。 


国 的 文 件 
ao. 名 EEC 8 日 
了 ME 。。 关 弄 区 
ee 
Program Ales 
[a wndows 


三 亚 寺 所 胎 可 用 的 更 让 ( 宁 
注意 : 所 有 有 进 定 的 村 如 有 对 应 的 语 商 ， 


Cn |] w | 
图 13.20 “显示 信息 ”对 话 框 图 13.21 “打开 保存 的 文件 ”对 话 框 
06 单 击 “ 打 开 ” 按钮， 显示 如 图 13.22 所 示 “ 打 开 保 存 的 文件 ”对 话 框 ， 默 认 将 在 “事件 查看 器 ”导航 栏 
中 创建 “保存 的 日 志 ” 项 目 ， 用 于 保存 所 有 导入 事件 文件 。 选 中 “所 有 用 户 ” 复 选 框 ， 本 地 计算 机 上 的 
所 有 用 户 均 可 以 通过 事件 查看 器 查看 当前 文件 ， 取 消 则 只 有 本 地 管理 员 帐 户 可 以 查看 该 文件 。 
07 单 击 “ 确 定 ”按钮 ， 即 可 添加 到 “事件 查看 器 ”窗口 中 ， 如 图 13.23 所 示 。 


[#9 开 代 的 交 件 


名 称 (N) 安全 事件 623 


图 13.22 “打开 保存 的 文件 ”对 话 框 


338 


第 13 章 审核 策略 与 事件 日 志 | 


13.3 ”系统 日 志 


在 Windows Server 2008 系统 中 ， 日 志 系 统 是 一 个 非常 重要 的 功能 组 成 部 分 。 系 统 日 志 可 
以 记录 下 系统 所 产生 的 所 有 行为 , 并 按照 某 种 规范 表达 出 来 。 使 用 日 志 系统 所 记录 的 信息 为 系 
统 进行 排 错 ， 优 化 系统 的 性 能 ， 或 者 根据 这 些 信 息 调 整 系统 的 行为 。 在 安全 领域 ， 日 志 系统 的 
地 位 更 加 重要 。 


13.3.1 事件 日 志 基本 信息 


通常 情况 下 ,计算 机 存储 的 日 志 类 型 包括 Windows 系统 日 志 、 服 务 器 角色 日 志 、 应 用 程序 和 
服务 日 志 。 其 中 ，Windows 系统 日 志 是 系统 默认 的 ， 包 括 应 用 程序 、 安 全 、 安 装 程序 、 系 统 和 转 
发 的 事件 等 5 部 分 ， 服 务 器 角色 日 志和 应 用 程序 日 志 取 决 于 当前 服务 器 运行 服务 和 应 用 程序 。 

事件 日 志 类 似 于 日 记 , 主要 用 于 记录 某 一 系统 事件 发 生 的 日 期 时间 等 基本 信息 , 事件 是 
操作 系统 在 某 一 时 刻 对 某 一 系统 资源 或 者 网 路 资源 发 生 的 访问 操作 , 而 记录 的 一 系列 行为 , 该 
行为 包含 当前 的 日 期 时间、 用 户 、 计 算 机 、 来 源 、 事 件 、 类 型 、 分 类 等 信息 。 表 13.11 中 显 
示 了 事件 的 基本 要 素 及 描述 。 


表 13.11 事件 基本 信息 


要 素 描述 

上 期 和 时 间 | 事件 发 生 的 日 期 时间。 事件 的 日 期 和 时 间 以 协调 通用 时 间 (UTC) 在 信 ， 但 始终 接 查 看 者 
的 区 域 设置 显示 
事件 发 生 所 代表 的 用 户 的 名 称 。 如 果 事件 实际 上 是 由 服务 器 进程 所 引起 的 ， 则 该 名 称 为 客户 

用 户 ID， 如 果 没有 发 生 模仿 的 情况 ， 则 为 主 ID。 在 可 用 时 ， 安 全 日 志 条 目 包 括 主 ID 和 模仿 ID。 
当 该 服务 器 允许 一 个 进程 采用 另 一 个 进程 的 安全 属性 时 ， 则 产生 模仿 

产生 事件 的 计算 机 的 名 称 。 这 通常 是 您 自己 的 计算 机 的 名 称 ,除非 您 在 另 一 台 计 算 机 上 查看 

事件 日 志 

we 记录 事件 的 应 用 程序 ， 它 可 为 程序 名 (如 "SQLServer,") 、 系 统 的 组 件 〈 如 驱动 程序 ) 或 大 
程序 的 组 件 。 例 如 ，"Elnkii" 指 示 EtherLinkI 驱动 程序 。*“ 来 源 "始终 使 用 其 原始 语言 
标识 此 来 源 的 特定 事件 类 型 的 数字 。 说 明 的 第 一 行 一 般 包含 事件 类 型 的 名 称 。 例 如 ，6005 

事件 ID ”| 是 在 启动 事件 日 志 服务 时 所 发 生 事件 的 ID。 这 类 事件 说 明 的 第 一 行 是 “事件 日 志 服务 已 启 
动 "。 通 过 结合 使 用 “来 源 " 和 “事件 "的 值 ， 产 品 支持 代理 可 解决 系统 问题 

有 事件 严重 性 的 分 类 ， 包 括 信息 、 和 警告、 错误 、 关 键 、Stccess Audit、 审 核 失败 等 6 个 级 别 。 
在 “事件 查看 器 "中 的 正常 列表 方式 下 查看 ， 它 们 都 由 一 个 符号 表示 

操作 代码 ”| 包含 标识 活动 或 应 用 程序 引起 事件 时 正在 执行 的 活动 中 的 点 的 数字 值 。 例 如 , 初始 化 或 关闭 

日 志 已 记录 事件 的 日 志 的 名 称 

任务 类 别 ”| 用 于 表示 事件 发 行者 的 子 组 件 或 活动 

关键 字 ”| 可 用 于 筛选 或 搜索 事件 的 一 组 类 别 或 标记 ， 包 括 “ 网 络 ”、“ 安 全 ”或 “未 找到 资源 ” 
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13.3.2 ”系统 日 志 概 述 


Windows 日 志 除 包括 早期 版 本 的 Windows 中 可 用 的 日 志 ( 应 用 程序 、 安 全 和 系统 日 志 ) 
之 外 ， 还 包括 两 个 新 的 日 志 类 别 ， 即 安装 程序 日 志和 转发 的 事件 日 志 。Windows 日 志 用 于 存 
储 来 自 旧版 应 用 程序 的 事件 以 及 适用 于 整个 系统 的 事件 。 应 用 程序 日 志 包含 由 应 用 程序 或 程序 
记录 的 事件 ， 主 要 记录 程序 运行 方面 的 事件 。 

1. Windows 系统 日 志 

Windows Server 2008 系统 日 志 类 包括 如 下 4 种 : 


里 应 用 程序 日 志 。 应 用 程序 日 志 包含 由 应 用 程序 或 系统 程序 记录 的 事件 。 例 如 ， 数 据 库 程 
序 可 在 应 用 程序 日 志 中 记录 文件 错误 。 应 用 程序 开发 人 员 决 定 记录 哪些 事件 ; 

里 安全 日 志 。 安全 日 志 记 录 诸 如 有 效 和 无 效 的 登录 尝试 等 事件 , 以 及 记录 与 资源 使 用 相关 
的 事件 ， 如 创建 、 打 开 或 删除 文件 或 其 他 对 象 。 例 如 ， 如 果 已 启用 登录 审核 ， 登 录 系统 
的 尝试 将 记录 在 安全 日 志 中 ; 

里 系统 日 志 。 系 统 日 志 包 含 Windows 系统 组 件 记录 的 事件 。 例 如 ， 在 启动 过 程 中 加 载 驱 
动 程序 或 其 他 系统 组 件 失 败 将 记录 在 系统 日 志 中 。 服 务 器 预先 确定 由 系统 组 件 记录 的 事 
件 类 型 ; 

里 安装 程序 日 志 。 安 装 程序 日 志 ， 记 录 在 系统 安装 或 者 安装 微软 公司 的 产品 时 ， 产 生 的 系 
列 事件 ， 如 果 安 装 出 现 错误 ， 可 以 使 用 此 日 志 分 析出 现 的 问题 。 


运行 Windows Server 2008 操作 系统 且 配 置 为 域 控制 器 的 计算 机 ， 以 另外 3 种 日 志 记录 事件 : 


里 目录 服务 日 志 。 目 录 服 务 日 志 包含 Active Directory 服务 记录 的 事件 。 例 如 ， 在 目录 服 
务 日 志 中 记录 服务 器 和 全 局 编 录 间 的 连接 问题 ; 

里 文件 复制 服务 日 志 。 文 件 复制 服务 日 志 包含 Windows 文件 复制 服务 记录 的 事件 。 例 如 ， 
在 文件 复制 日 志 中 ， 记 录 着 文件 复制 失败 和 域 控 制 器 (利用 关于 系统 卷 更 改 的 信息 ) 更 
新 时 发 生 的 事件 。 运 行 Windows 并 配置 为 域名 系统 (DNS) 服务 器 的 计算 机 在 其 他 日 
志 中 记录 事件 ; 

mm DNS 服务 器 日 志 。DNS 服务 器 日 志 包含 DNS 服务 记录 的 日 志 。 


另外 ， 根 据 所 安装 服务 的 情况 ， 计 算 机 可 能 会 提供 其 他 类 型 的 事件 和 事件 日 志 。 
2. 安全 日 志 


安全 日 志 包含 诸如 有 效 和 无 效 的 登录 尝试 等 事件 ， 以 及 与 资源 使 用 相关 的 事件 ， 如 创建 、 打 
或 删除 文件 或 其 他 对 象 。 管 理 员 可 以 指定 在 安全 日 志 中 记录 什么 事件 。 管 理 员 可 以 使 用 组 策略 
来 启动 安全 性 日 志 ， 或 者 在 注册 表 中 设置 审核 策略 ， 以 便当 安全 性 日 志 满 后 使 系统 停止 响应 。 

安装 程序 日 志 包 合 与 应 用 程序 安装 有 关 的 事件 。 
系统 日 志 包 含 Windows 系统 组 件 记录 的 事件 。 例 如 ， 在 启动 过 程 中 加 载 驱动 程序 或 其 他 
系统 组 件 失 败 将 记录 在 系统 日 志 中 。 系 统 组 件 所 记录 的 事件 类 型 由 Windows 预先 确定 。 
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转发 事件 日 志 用 于 存储 从 远程 计算 机 收集 的 事件 。 若 要 从 远程 计算 机 收集 事件 , 必须 创建 
事件 订阅 。 
3. 应 用 程序 和 服务 日 志 


应 用 程序 和 服务 日 志 是 一 种 新 类 别 的 事件 日 志 。 这 些 日 志 存 储 来 自 单个 应 用 程序 或 组 件 的 
和 人 件 ， 而 非 可 能 影响 整个 系统 的 事件 。 

此 类 别 的 日 志 包括 4 个子 类 型 : 管理 日 志 、 操作 日 志 、 分 析 日 志和 调试 日 志 。 管理 日 志 中 
的 事件 尤其 受 使 用 事件 查看 器 解决 问题 的 IT 专业 人 士 的 关注 。 管 理 日 志 中 的 事件 应 该 提供 有 
关 如 何 对 事件 做 出 响应 的 指南 。 

里 管理 事件 : 这 些 事件 主要 以 最 终 用 户 、 管 理 员 和 技术 支持 人 员 为 目标 。 管 理 通道 中 的 事 

件 指示 问题 以 及 管理 员 可 以 操作 的 良好 定义 的 解决 方案 。 管 理事 件 的 示例 之 一 是 应 用 程 
序 无 法 连接 到 打印 机 时 所 发 生 的 事件 。 这 些 事件 或 者 有 详细 文档 记录 ， 或 者 有 与 其 关联 
的 消息 直接 指导 读者 纠正 问题 所 必须 做 的 事情 ; 

里 操作 事件 : 操作 事件 用 于 分 析 和 诊断 问题 或 发 生 的 事件 。 这 些 事件 可 以 用 于 基于 问题 或 
发 生 的 事件 触发 工具 或 任务 。 操 作 事件 的 示例 之 一 是 在 从 系统 中 添加 或 删除 打印 机 时 所 
发 生 的 事件 ; 

里 分 析 事件 : 分 析 事 件 是 大 量 发 布 的 事件 。 这些 事 件 描述 程序 操作 并 指示 用 户 干预 所 无 法 
处 理 的 问题 ; 

里 调试 事件 : 调试 事件 由 开发 人 员 用 于 解决 其 程序 中 的 问题 。 


db 


13.3.3 ”系统 日 志 设置 


系统 日 志 有 如 此 重要 的 作用 , 如 何 妥善 保存 这 些 日 志 记 录 , 就 成 为 管理 员 日 常 维护 的 一 
重要 工作 。 默 认 状 态 下 ， 系 统 日 志 的 存储 空间 、 如 存放 法 家 保存 旧 期 部 有 = 定 限 制 的 ， a 
系统 事件 较 多 ， 时 间 长 了 很 可 能 会 造成 存储 溢 。 ee 
出 ， 即 导致 部 分 事件 记录 被 自动 清除 。 因此 , 通 。 sp sree 
常情 况 下 需要 对 系统 日 志 进行 如 下 设置 。 

1. 设置 系统 日 志 选 项 


在 “事件 查看 器 ”控制 台中 ， 右 击 需 要 配置 。 。 = 
选项 的 日 志 类 型 ， 如 “应 用 程序 ”事件 日 志 , 在 。 see 
快捷 菜单 中 选择 “属性 ”选项 ， 显 示 如 图 13.24 emi 7 
所 示 “ 系 统 属性 ”对 话 框 。 包 括 如 下 选项 : 


1m MO D3208 4) 


霄 于 E 志 内 
四 日 志 路 径 : 当前 日 志 的 保存 路 径 ; 
Ce ww -ap 
日 志 最 大 大 小 : 当前 事件 日 志 在 计 算 机 磁 
盘 中 被 分 配 的 磁盘 空间 ， 可 以 根据 服务 占 图 13.24 设置 事件 日 志 选 项 


类 型 判断 日 志文 件 的 大 小 ， 从 而 设 定 合适 
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本 
Windows 


的 空间 上 限 , 建议 设置 较 大 的 空间 上 限 ， 以 免 由 于 磁盘 空间 不 足 而 自动 删除 未 经 保存 的 
陈旧 事件 日 志 ; 

达到 事件 日 志 最 大 大 小 时 : 当 达 到 日 志 大 小 上 限时 系统 将 按照 默认 或 预先 设 定 的 动作 执 
行 ， 系 统 默认 的 是 “ 按 需 要 材 盖 事件 ”。 

2. 创建 自 定义 视图 


通常 情况 下 , 服务 器 运行 过 程 中 会 产生 大 量 的 事件 日 志 , 逐个 查看 这 些 事件 需要 花费 很 长 
的 时 间 , 而 其 中 大 部 分 都 是 记录 访问 或 操作 成 功 的 日 志 , 对 于 管理 员 的 安全 管理 工作 意义 不 大 。 
自 定义 视图 的 功能 类 似 于 “筛选 ” 通过 创建 自 定义 视图 ， 可 以 指定 用 户 希望 查看 的 事件 。 例 
如 只 显示 错误 事件 和 警告 事件 ， 正 常 的 事件 将 不 需要 显示 。 


0 1] 以 管理 员 帐 户 登录 服务 器 ， 打 开 “ 事 件 查看 器 ”窗口 ， 选 择 “ 自 定义 视 图 ” 类别， 并 在 “操作 ” 栏 中 单 
击 “ 创 建 自 定义 视图 ”链接 ， 显 示 如 图 13.25 所 示 “ 创 建 自 定义 视图 ”对 话 框 。 


0 2 在 “记录 时 间 ” 下 拉 列 表 中 选择 日 志 产生 的 时 间 ， 系 统 默认 为 “任何 时 间 ” 用 户 还 可 以 选择 “前 1 个 
小 时 ”“ 过 去 的 24 小 时 ”“ 最 后 的 7 天 ”等 时 间 ， 或 者 选择 “ 自 定义 范围 ” 打开 如 图 13.26 所 示 “ 自 
定义 范围 "对话 框 , 设置 希望 查看 日 志 产生 的 时 间 范 围 。 例如 按照 时 间 产 生 的 时 间 设置 首先 分 别 在 “从 ?” 
和 “到 ”下 拉 列 表 中 选择 “事件 时 间 ” 然后 再 分 别 定义 开始 和 截止 的 日 期 和 时 间 即 可 。 


ET -3 = | 


图 13.25 “创建 自 定义 视图 ”对 话 框 图 13.26 “ 自 定义 范围 ”对 话 框 


03 单 击 “确定 ”按钮 返回 “创建 自 定义 视图 ”对 话 框 ， 在 “事件 级 别 ” 选项 区 域 选 择 事件 的 级 别 ， 例 如 “ 警 
告 ” 和 “错误 ”。 选 择 “ 按 日 志 ” 单 选 按钮 ， 并 在 “事件 日 志 ” 下 拉 列 表 中 ， 依 次 选择 “Windows 日 志 ” 
一 “安全 ”选项 ， 如 图 13.27 所 示 。 

04 单 击 “确定 ”按钮 ， 显 示 如 图 13.28 所 示 “ 将 筛选 器 保存 到 自 定义 视图 ”对 话 框 ， 输 入 自 定义 视图 的 名 
称 ， 以 及 自 定义 视图 在 事件 查看 器 中 的 位 置 。 
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05 单 击 “ 确 定 ”按钮 ， 完 成 自 定义 视图 的 创建 ， 如 


素 ， 


用 入 
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将 竺 和 如 保存 到 自 定义 视图 _ 


SEB#0) BHEmE: 局 -| 
ra gm | j 
| 

BN 


|: sass seer 


FF 所 有 用 产 (A) 


图 13.27 选择 事件 来 源 


“错误 "。 


图 13.28 “将 筛选 器 保存 到 自 定义 视图 ”对 话 框 


图 13.29 所 示 。 在 事件 列表 中 ， 显 示 的 事件 级 别 全 部 是 


ee 
后 和 HE 


图 13.29 “警告 和 错误 ”窗口 


3. 分 析 日 志和 调试 日 志 


分 析 日 志和 调试 日 志 主要 面向 IT 专业 


用 户 ， 用 于 分 析 事 件 产生 的 原因 、 过 程 等 因 


对 普通 用 户 的 正常 应 用 没有 太 大 影响 。 


因此 ， 默 认 情况 下 分 析 日 志和 调试 日 志 为 禁 


隐藏 状态 。 用 户 可 以 打开 “事件 查看 器 ” 
， 然 后 选择 “查看 ”菜单 中 的 “显示 分 


析 和 调试 日 志 ” 命 令 ， 即 可 在 “应 用 程序 和 
服务 日 志 ” 项目 中 看 到 相关 的 事件 日 志 ， 


图 13.30 所 示 。 


图 13.30 ”显示 分 析 和 调试 日 志 
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小 结 


系统 事件 审核 策略 是 Windows Server 2008 系统 中 的 重要 管理 工具 之 一 ， 也 是 每 个 系统 管 
理 员 必 须 掌握 的 。 系 统 审核 策略 虽然 比较 复杂 , 但 是 重要 的 是 它 可 以 帮助 管理 员 从 海量 系统 事 
件 日 志 中 ,自动 筛选 出 最 具 价 值 的 信息 。 设 置 审核 策略 时 ， 应 注意 仅 启 用 最 需要 审核 的 策略 类 
型 ， 如 果 启用 的 审核 策略 过 多 甚至 全 部 启用 ， 将 产生 大 量 的 审核 事件 日 志 。Windows 事件 查 
看 器 可 以 帮助 管理 员 查 看 和 管理 系统 事件 日 志 , 而 系统 事件 日 志 分 别 记录 了 各 种 系统 应 用 和 网 
络 服务 ， 在 不 同时 刻 的 状态 信息 ， 是 管理 员 了 解 系统 运行 状态 、 排 查 系统 故障 所 必需 的 。 


习 题 


1. 简 述 审核 策略 功能 及 应 用 。 
2. Windows Server 2008 中 的 系统 事件 有 哪些 新 特点 ? 
3. 如 何 使 用 Windows 事件 查看 器 管理 系统 安全 日 志 ? 


实验 : 使 用 自 定义 视图 收集 审核 事件 


实验 目的 

掌握 Windows Server 2008 事件 查看 器 的 应 用 。 

配置 审核 策略 ， 并 通过 创建 自 定义 视图 ， 收 集 审 核 策 略 生成 的 事件 。 
. 启用 并 配置 审核 策略 。 

. 创建 自 定义 视图 。 
. 设置 自 定义 范围 。 
. 选择 事件 来 源 。 
. 将 筛选 器 保存 到 自 定 义 视图 。 

. 查看 自 定义 视图 中 收集 的 审核 策略 事件 。 


mmDPP 一 
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Internet 信息 服务 安全 


lIS (Internet Information Service，Internet 信息 服务 ) 是 一 个 统一 的 Web 平 
合 ， 其 中 包括 Web 服务 器 、FTP 服务 器 、NNTP 服务 器 和 SMTP 服务 器 ， 分 别 
用 于 网 页 发 布 、 文 件 传输 、 新 闻 服 务 和 邮件 发 送 等 方面 ， 为 管理 员 和 开发 人 员 
提供 一 个 Web 解决 方案 。 如 何 加 强 llS 的 安全 机 制 ， 建 立 高 安全 性 能 的 可 靠 的 
WWW 服务 器 ， 已 成 为 网 络 管理 的 重要 组 成 部 分 。 


本 章 导读 


IIS 7.0 安全 特性 

Web 数据 安全 

Web 访问 安全 

Web 服务 器 常规 安全 设置 

使 用 SSL 证 书 配置 安全 Web 站 点 
FTP 服务 安全 


Ry 
属 Windows Server 2008 系统 安全 管理 实战 指南 


14.1 1IS 7.0 安全 特性 


IIS 7.0 是 Windows Server 2008 系统 默认 集成 的 IS 组 件 版 本 。 相 对 于 早期 版 本 而 言 ,IS7.0 
的 安全 性 有 明显 提高 ， 同 时 提供 多 种 安全 机 制 ， 包 括 基于 Windows 系统 的 基本 身份 验证 方法 
以 及 基于 域 的 高 级 身份 验证 方法 。 另 外 IIS 7.0 采取 完全 模块 化 的 安装 和 管理 ， 增 强 了 安全 性 
和 自 定义 服务 器 ， 减 少 攻击 的 可 能 ， 简 化 诊断 和 排除 功能 。 


14.1.1 “lIS 7.0 的 新 特性 


IIS 7.0 是 一 个 完全 模块 化 的 Web 服务 器 ， 解 决 了 老 版 本 上 的 用 户 并 不 常 使 用 特性 过 多 对 
于 代码 的 影响 ， 性 能 方面 有 时 不 能 让 用 户 满意 和 由 于 默认 的 接口 过 多 所 造成 的 安全 隐患 。IIS 
7.0 在 IIS 6.0 的 基础 上 有 了 很 大 的 功能 改进 ， 主 要 有 : 


更 简便 的 命令 行 配置 功能 ; 

更 强 的 兼容 性 ; 

@ 抛弃 MetaBase; 

@ 集中 管理 ; 

委任 配置 ; 

@ AppCmd 与 其 它 新 的 管理 手段 ; 
昌 失败 请 求 追踪 ; 

昌 请 求 过 滤 ; 

@ UNC 内 容 支持 ; 

四 动态 内 容 输 出 缓存 。 


14.1.2 IIS 7.0 访问 控制 安全 


通过 为 服务 器 配置 适当 的 身份 验证 机 制 , 可 以 确认 任何 请 求 访问 网 站 的 用 户 的 身份 , 以 及 
授予 访问 站 点 公共 区 域 的 权限 , 同时 还 可 以 防止 未 经 授权 的 用 户 访问 专用 文件 和 目录 。 除 此 之 
外 ，IIS 7.0 本 身 还 提供 了 许多 全 新 安全 功能 ， 如 访问 控制 、IS 管理 器 权限 、 授 权 规则 等 。 

.NET 信任 级 别 。 管 理 员 可 以 通过 此 项 安全 设置 为 托管 模块 、 管 理 程序 和 应 用 程序 指定 

信任 的 级 别 ， 以 提高 网 络 组 件 和 服务 器 的 安全 。 该 功能 需要 .NET 扩展 组 件 的 支持 ; 

mIIS 管理 器 权限 。 该 功能 可 以 控制 允许 连接 到 网 站 或 应 用 程序 的 用 户 对 象 ， 包 括 IIS 管 

理 器 用 户 、Windows 用 户 或 Windows 组 的 成 员 。 该 功能 仅 适 用 于 服务 器 连接 。 如 果 在 
IIS 管理 器 中 的 服务 器 级 别 打开 此 功能 ， 可 以 查看 被 授予 了 Web 服务 器 上 所 有 网 站 和 应 
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用 程序 权限 的 用 户 , 并 且 可 以 选择 用 户 以 删除 该 用 户 的 网 站 或 应 用 程序 权限 , 提高 服务 
器 的 安全 性 ; 

@ IIS 管理 器 用 户 。 通 过 该 功能 可 以 管理 被 允许 连接 到 Web 服务 器 上 的 网 站 或 应 用 程序 的 
用 户 帐 户 。IIS 管理 器 凭据 默认 已 经 内 置 于 IIS 中 ， 无 法 被 Windows 或 服务 器 上 的 任何 
其 他 应 用 程序 识别 ; 

和 访问 控制 。 与 IS 6.0 中 的 “IP 地 址 和 域名 限制 ”功能 类 似 ， 可 以 通过 配置 “允许 ”或 
“拒绝 ”访问 服务 器 的 IP 地 址 或 域名 列表 ， 实 现 对 服务 器 的 访问 控制 ; 

ISAPI 和 CGI 限制 。 该 功能 可 以 指定 ， 允 许 在 IIS 服务 器 上 运行 的 ISAPI 和 CGI 组 件 。 
CGI 是 最 常用 的 Web 服务 器 功能 的 扩展 ， 主 要 用 于 搭建 动态 网 站 环境 ; 

四 服务 器 证 书 。 证 书 可 以 用 来 建立 安全 套 接 字 层 (SSL) 连接 ， 也 可 以 用 于 验证 来 访 用 户 
帐户 的 身份 ; 

a 功能 权限 委派 。 在 Windows Server 2008 中 ， 管 理 员 可 以 使 用 功能 权限 委派 ， 为 WWW 
服务 器 上 的 网 站 和 应 用 程序 ， 配 置 IIS 管理 器 功能 的 委派 状态 。 从 IIS 管理 器 中 配置 功 
能 的 委派 状态 时 ， 可 以 指定 该 功能 在 IIS 7.0 的 服务 器 级 别 配 置 文件 中 ， 是 否 处 于 锁定 
状态 。 如 果 某 项 功能 被 锁定 ， 则 只 能 从 〈 向 ) 服务 器 级 别 配置 文件 中 ， 读 取 ( 写 入 ) 该 
功能 的 配置 。 但 是 ， 如 果 和 希望 从 (向 ) 较 低级 别 的 配置 文件 (如 网 站 或 应 用 程序 中 的 
Web.config 文件 ) 中 ， 读 取 ( 写 入 ) 配置 时 ， 则 可 以 解除 锁定 ; 

@ 管理 服务 。 管 理 员 可 以 使 用 功能 配置 IIS 管理 器 的 管理 服务 。 利 用 管理 服务 ， 计 算 机 和 
域 管理 员 可 以 通过 远程 方式 ， 管 理 Web 服务 器 、 站 点 和 应 用 程序 ; 

四 身份 验证 。IIS 7.0 可 以 提供 7 种 身份 验证 方法 ， 并 且 集 成 Active Directory 服务 的 身份 
验证 机 制 , 如 AD 客户 端 身份 验证 、 摘 要 式 身份 验证 等 , 以 及 .NET 组 件 提供 的 ASPNET 
模拟 身份 验证 方法 等 ; 

@ 授权 规则 。 管理 员 通过 为 服务 器 配置 相应 的 授权 规则 ,可 以 指定 授权 用 户 访问 网 站 或 应 
用 程序 的 规则 。 


14.1.3 NTFS 访问 安全 


NIEFS 文件 系统 可 以 为 数据 提供 安全 和 访问 控制 ， 可 以 限制 用 户 和 服务 对 文件 和 文件 夹 的 访 
问 。 使 用 NTFS 文件 系统 时 ， 必 须 为 用 户 帐户 授予 相应 的 NTFS 权限 ， 该 用 户 才能 访问 相应 的 文 
件 或 文件 来 ， 否 则 就 无 法 访问 ， 从 而 在 一 定 程序 上 保护 了 数据 的 安全 。 需 要 注意 的 是 ，NTFS 的 
安全 性 在 本 地 计算 机 或 网 络 中 都 是 有 效 的 。 无 论 是 以 用 户 身份 登录 到 服务 器 ， 还 是 通过 网 络 访问 
共享 文件 夹 ，NTEFS 安全 性 都 有 效 。 因 此 ， 从 安全 性 角度 考虑 ， 应 为 IS 设置 NTFS 权限 。 

无 论 使 用 IIS 搭建 Web 服务 还 是 FTP 服务 ,都 应 将 文件 存储 在 NTFS 分 区 内 ,并 利用 NTFS 
权限 来 增强 数据 的 安全 性 。 在 资源 管理 器 中 ， 右 击 IS 的 安装 目录 (默认 
为 %Systemroot%\Inetpub) 选择 快捷 菜单 中 的 “属性 ”选项 ， 打 开 “inetpub 属性 ”对 话 框 ， 切 
换 到 “安全 ”选项 卡 ， 单 击 “ 编 辑 ” 按 钮 ， 即 可 修改 用 户 或 组 的 访问 权限 ， 如 图 14.1 所 示 。 
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14.1 设置 NTFS 权限 


如 果 NTFS 的 权限 设置 与 IIS 权限 设置 发 生 冲 突 ， 以 最 严格 的 设置 为 准 。 例 如 ，NTFS 的 


权限 设置 为 只 读 ， 而 IS 权限 设置 为 完全 控制 ， 那 么 用 户 的 访问 权限 将 只 能 是 “只 读 ”。 为 了 
使 服务 器 尽 可 能 地 安全 ， 应 该 重新 检查 一 下 所 有 IIS 文件 夹 的 安全 设置 并 进行 适当 的 调整 。 


14. 
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1.4 ”1IS 7.0 安装 安全 


在 安装 IS 7.0 时 应 注意 以 下 问题 : 


昌 选择 非 域 控制 器 作为 IIS 服务器。 安装 IIS 过 程 中 ,系统 将 自动 创建 “IUSR 计算 机 名 ” 
匿名 帐户 , 如 果 所 选 服务 器 是 域 控 制 器 , 则 该 用 户 帐户 将 被 添加 到 域 用 户 组 中 (Users) ， 
从 而 把 应 用 于 组 的 访问 权限 , 就 会 提供 给 访问 IIS 服务 器 的 每 个 匿名 用 户 , 这 不 仅 给 IIS 
带 来 潜在 危险 ， 而 且 还 可 能 威胁 整个 网 络 的 安全 ; 

昌 选择 非 系统 分 区 作为 安装 目录 。 把 IIS 安装 在 系统 分 区 上 ， 会 使 系统 文件 与 IS 同样 面 
临 非法 访问 ， 容 易 使 非法 用 户 侵入 系统 分 区 ， 所 以 在 安装 IS 的 Web、FTP 等 服务 时 ， 
应 尽量 避免 将 IIS 服务 器 安装 在 系统 分 区 上 ; 

安装 在 NTFS 类 型 分 区 上 。 相 对 于 FAT32 分 区 而 言 , NTFS 分 区 拥有 较 高 的 安全 性 和 可 
管理 性 , 并 且 磁 盘 利 用 效率 高 , 可 以 设置 复杂 的 访问 权限 , 以 适应 不 同 信 息 服 务 的 需求 ; 

四 只 安装 必需 的 组 件 。 除 非特 别 需要 ， 和 否则 不 要 安装 Intemet 打印 以 及 ASPNET、CGI 等 
动态 网 站 扩展 组 件 ， 以 避免 恶意 用 户 借助 相应 的 组 件 漏洞 或 设置 错误 ， 实 现 对 IIS 服务 
器 的 攻击 ; 

m 定制 自己 需要 的 安全 功能 组 件 。 IIS 7.0 提供 的 更 为 丰富 的 安全 功能 设置 , 管理 员 可 以 根 
据 IIS 服务 器 的 需求 定制 适当 的 安全 限制 。 
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14.2 ”Web 数据 安全 


Web 网 站 被 黑 、FTP 资源 被 恶意 删除 等 安全 事件 屡见不鲜 ， 如 何 确保 网 站 安全 运行 ， 已 
经 成 为 网 络 管理 员 的 重要 任务 之 一 。 IIS 7.0 提供 了 众多 的 身份 验证 机 制 , 可 以 在 恶意 用 户 入 侵 
途中 发 挥 相 应 的 作用 , 但 是 一 旦 主动 防御 措施 失效 , 后 果 将 不 堪 设 想 。 为 此 管理 员 还 必须 确保 
Web 站 点 内 容 的 安全 ， 即 做 好 备份 工作 和 日 志 管 理工 作 。 


14.2.1 IIS 7.0 配置 备份 和 还 原 


随 着 Web 网 站 功能 和 页 面 的 不 断 增加 ， 各 种 目录 和 虚拟 目录 就 会 比较 多 ， 配 置 会 越 来 越 
复杂 。 如 果 发 生 网 络 入 侵 或 服务 器 故障 ， 可 能 造成 无 法 挽回 的 损失 。 在 IS 7.0 以 前 版 本 中 ITS 
都 自 带 了 备份 和 恢复 设置 功能 , 而 IS 7.0 的 系统 配置 文件 , 完全 采用 一 个 XML 配置 文件 来 完 
成 ,管理 员 可 以 拷贝 来 备份 、 还 原 和 修改 IIS 的 设 定 。IIS 7.0 将 全 局 配置 文件 存储 
在 %SYSTEMROOT%\system32\inetsrv\config\Application Host.config 文件 中 。 此 XML 文件 包 
含 两 个 主要 的 配置 节 组 : 


system.applicationHost 节 组 包含 站 点 、 应 用 程序 、 虚 拟 目 录 以 及 计算 机 上 的 应 用 程序 池 
的 设置 ， 无 论 它们 是 否 是 Web 服务 器 的 一 部 分 ; 

system.webServer 节 组 包含 计算 机 上 IS 7.0 Web 服务 器 的 全 部 配置 设置 。 例 如 ,该 节 组 
是 在 Web 服务 器 上 配置 全 局 Web 服务 器 默认 值 、Web 服务 器 安全 性 以 及 HTTP 文件 压 
缩 的 位 置 。 也 可 以 在 此 文件 中 存储 特定 站 点 或 应 用 程序 的 配置 设置 。 


由 于 IIS 7.0 配置 是 基于 Microsoft NET Framework 配置 的 , 因此 可 以 使 用 web.config 文件 
同时 存储 HS 7.0 和 ASPNET 配置 设置 。 此 XML 文件 包含 Web 服务 器 上 的 网 站 、Web 应 用 程 
序 、URL、 物 理 或 虚拟 目录 的 本 地 配置 设置 。 此 文件 存储 在 网 站 或 Web 应 用 程序 的 代码 和 内 
容 所 存储 的 目录 里 。 


提示 “由 于 JIS 70 配置 文件 被 写 入 为 XML 文件 ， 因 此 可 以 使 用 文本 编辑 加 或 Microsoft 
芭 Visual Studio 对 其 进行 编辑 。 


14.2.2 IIS 7.0 日 志 记 录 


除了 Windows 提供 的 日 志 记录 功能 以 外 ，IIS 7.0 还 可 以 提供 其 他 日 志 记录 功能 。 例 如 设 
置 日 志文 件 格式 并 指定 要 记录 的 请 求 。IIS 日 志 数 据 可 以 记录 服务 器 和 每 个 网 站 的 访问 ， 通 过 
该 日 志 可 以 了 解 服务 器 和 网 站 的 运行 情况 ， 发 现 和 排除 潜在 威胁 。 

如 果 用 户 希望 IS 能 基于 配置 的 条 件 有 选择 地 记录 特定 的 服务 器 请 求 , 应 该 开启 服务 器 日 
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志 记 录 。 一 旦 启用 了 服务 器 的 日 志 记录 ， 就 可 以 为 服务 器 上 的 任意 站 点 启用 选择 性 日 志 记录 。 
管理 员 可 以 查看 日 志文 件 ， 以 了 解 失 败 和 成 功 的 请 求 。 下 面 以 设置 Default Web Site 站 点 日 志 


为 例 讲解 IS7.0 日 志 设置 方法 。 


01 在 “Intemet 信息 服务 (IIS) 管理 器 ”窗口 中 ,打开 “Default Web Site 主页 ” 双击 “日 志 ” 图 标 ， 显 


0 2 单 击 “选择 字段 ” 按钮 ， 显 示 如 图 14.3 所 示 “W3C 日 志 记录 


03 设置 完 后 在 “操作 ” 栏 中 的 单 击 “ 应 用 ”选项 完成 日 志 设置 。 


示 如 图 14.2 所 示 “ 日 志 ” 窗 口 。 在 日 志文 件 格式 列表 框 中 选择 “W3C” 格 式 ， 其 中 日 志文 件 的 格式 有 

4 种 ， 分 别 是 : 

@ IIS。 将 IIS 配置 为 使 用 Microsoft IIS 
日 志文 件 格式 来 记录 有 关 网 站 的 信 
息 。 这 种 格式 由 HTTPsys 进行 处 理 ， 


和 Tateraet 信息 最 秀 CTS) 管 理 于 器 居 
OO [© mm Wh i ts 而 = 从 | 国 ， 
文 伯 0] 可 本 WW00 


eae Ce 
并 且 是 固定 的 基于 ASCII 文本 的 格 | 1 a MM 
式 ,这 意味 着 用 户 无 法 自 定义 记录 的 。 | 省 | 
字段 。 时 间 记录 为 本 地 时 间 , 字段 由 | 人 | | 
逗号 分 隔 ; 一 
m NCSA。 将 IIS 配置 为 超级 计算 机 应 用 

程序 国家 中 心 公 用 日 志文 件 格式 来 记 SH 二 六 

SS | 
录 有 关 网 站 的 信息 。 这 种 格式 由 |， L 


HTTPsys 进行 处 理 ， 是 一 种 固定 的 
ASCII 格式 ,字段 由 空格 分 隔 ， 时 间 
记录 为 本 地 时 间 ; 
里 W3C。 使 用 W3C 扩展 日 志文 件 是 可 自 定义 的 基于 ASCII 文本 的 格式 , 用 户 可 以 指定 记 
录 的 字段 ， 字 段 由 空格 分 隔 ， 记 录 时 间 采 用 UTC 格式 ; 
四 自 定 义 。 将 IIS 配置 为 对 自 定义 的 日 志 记录 模块 使 用 自 定义 格式 ， 如 果 选 择 此 项 ， 则 “日 
志 ” 页 将 被 禁用 ， 因 为 无 法 在 IIS 管理 器 中 配置 自 定义 日 志 。 


图 14.2 “日 志 ” 窗口 


字段 ”对 话 框 。 管理 员 可 以 根据 实际 情况 进行 相关 设置 。 在 “ 目 
录 ” 文 本 框 中 设置 日 志保 存 的 目录 ， 默 认 保存 的 目录 
为 ，%SystemDrive%inetpub\logs\LogFiles。 在 “日 志文 件 
滚动 更 新 ”选项 框 中 ， 选 择 创建 日 志文 件 的 方法 。 包 括 : 


计划。 设置 更 新 的 时 间 ， 例 如 每 周 更 新 ; 

四 最 大 文件 大 小 。 当 日 志文 件 达到 该 值 是 ， 自 动 更 
新 日 志文 件 ; 

昌 不 创建 新 的 日 志文 件 。 将 该 目录 下 的 所 有 网 站 日 
志 都 记录 到 单个 文件 中 。 
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14.3 ”Web 访问 安全 


IIS 7.0 新 增 了 多 种 安全 访问 控制 功能 ， 可 以 满足 用 户 各 种 网 络 环境 的 需求 。 另 外 ， 管 理 员 可 
以 对 Web 站 点 的 主 目录 设置 NTFS 访问 权限 ， 从 而 对 使 用 不 同 用 户 帐户 的 来 访 用 户 赋予 不 同 的 访 
问 和 操作 权限 ， 对 于 匿名 用 户 则 只 赋予 其 最 小 有 效 权 限 即 可 ， 充 分 确保 站 点 和 服务 器 的 安全 。 


14.3.1 设置 NTFS 访问 权限 


NTFS 文件 系统 是 Windows Server 2008 系统 分 区 必需 的 ， 鉴 于 许多 安全 访问 机 制 都 是 基 

于 NTFS 文件 系统 的 ， 所 以 推荐 所 有 分 区 均 使 用 该 文件 系统 格式 化 。 对 于 Web 站 点 而 言 ， 管 
理 员 只 需 对 希望 设置 访问 权限 的 站 点 主 目录 或 虚拟 目录 设置 NTFS 访问 权限 即 可 。 需 要 注意 的 
是 , 设置 过 程 中 应 注意 NTFS 访问 权限 自动 继承 和 传播 的 特点 , 避免 影响 到 其 他 站 点 或 页 面 的 
正常 访问 。 

01 以 “company” 文 件 夹 为 例 。 在 Windows 资 上 2 单 击 “ 编 辑 ” 按 钮 ， 显 示 如 图 14.5 所 示 

源 管 理 器 中 ， 右 击 “company” 文 件 夹 并 选择 快捷 、 “company 的 权限 ”对 话 框 ， 管 理 员 可 以 添加 用 户 

菜单 中 的 “属性 ”选项 ， 显 示 “company 属性 ”对 并 设置 相关 权限 ， 也 可 以 更 改 权限 。 

话 框 。 切 换 至 “安全 ”选项 卡 ， 选 择 相应 的 组 或 用 

户 ， 就 可 以 看 到 该 组 或 用 户 拥有 的 权限 ， 如 图 14.4 

所 示 。 


EE 
这 坑 “| 共享 ”安全 “| 以 和 的 版本 | 自 EX| 


图 14.4 “company 属性 ”对 话 杠 图 14.5 “company 的 权限 ”对 话 框 


03 设置 完成 后 ， 单 击 “ 确 定 ”按钮 返回 “company 属性 ”对 话 框 。 单 击 “ 高 级 ”按钮 ， 打 开 如 图 14.6 
所 示 “company 的 高 级 安全 设置 ”窗口 ， 在 这 里 可 以 更 详细 地 设置 文件 夹 权限 。 
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和 限 | 计生 者 | 有 8 承 | 


要 二 看 吏 叶 站 本 习 的 滋 5 息 ， 请 过 择 该 而 有 并 单 寺 “ 拉 得”。 


Npeny 


E13 
克 馈 1 基 风 和 和 有 后 所 四 


ED | 


14.6 “company 的 高 级 安全 设置 ”窗口 
提示 兼 有 IIS 权限 和 NTFS 权限 时 , 有 效 权 限 为 两 者 的 最 小 权限 , 如 IIS 权限 设置 为 “ 完 
将 全 控制 "， 而 NTFS 的 权限 设置 为 “只 读 ”， 那 么 用 户 最 终 的 访问 权限 为 “只 读 ”。 
对 于 NTFS 权限 ， 文 件 权限 优 于 文件 来 权限 。 


14.3.2 ”设置 身份 验证 方式 


默认 情况 下 IS 7.0 支持 匿名 身份 验证 和 集成 Windows 身份 验证 。 匿 名 身份 验证 允许 任何 
用 户 访问 公共 内 容 , 而 不 用 向 客户 端 浏览 器 提供 用 户 名 和 密码 质询 。 如 果 某 些 内 容 只 给 指定 的 
用 户 查 看 , 而 且 使 用 的 是 匿名 身份 验证 , 则 必须 设置 相应 的 NTFS 文件 系统 权限 来 防止 匿名 用 
户 访问 这 些 内 容 。 如果 希 望 只 运行 注册 用 户 查 看 选 定 的 内 容 , 可 以 设置 要 求 提供 用 户 名 和 密码 
的 身份 验证 方法 ， 如 摘要 式 身份 验证 或 基本 身份 验证 。 


1. 配置 匿名 身份 验证 


启用 匿名 身份 验证 后 , 管理 员 可 以 更 改 
IIS 用 户 访问 站 点 和 应 用 程序 的 帐户 。 默 认 
情况 下 ，IIS 7.0 使 用 IUSR 作为 匿名 访问 的 
用 户 名 。 以 company 站 点 编辑 匿名 身份 验证 
凭据 为 例 。 


01 在 “Internet 信息 服务 管理 ”窗口 中 ， 依 次 选 
择 “ 起 始 页 ”一 “WIN-HKSLEYF2MMT ( 计 
算 机 名 ) ”一 “网 站 ”一 “Default Web Site” 
一 “company” 选项， 显示 如 图 14.7 所 示 
“company 主页 ”窗口 。 

02 在 “company 主页 ”窗口 中 双击 “身份 验证 ” 
选项 ， 打 开 “ 身 份 验 证 ”窗口 ， 右 击 “ 匿 名 


用 Iateraet 信息 服务 CTS) 管 理 和 Dx 
GO [Brrr ,Fh , hetedt te site » cmur » 盎 于 全 | 六- 
人 四 “和 wm 0 


页 
cera 加 “py 评 。 | 王 站 
有 mbaa| 9 LE 
全 让 要 | 日 sk 
对 放 文档 。 目录 浏览 
司 让 ao Getp) 
编 各 虞 拟 目 录 
高 级 设置 
日 志 身价 登 证 [了 
a i 联机 帮助 
狐 加 
办 瑞生 


1 避 己 吉 加 J 


始 上 
站 


图 14.7 “company 主页 ”窗口 


身份 验证 ” 在 打开 的 快捷 菜单 中 选择 “编辑 ” 命令， 显示“ 编辑 匿名 身份 验证 攒 据 ” 对话 框 ， 单 击 “ 设 
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置 ”按钮 ， 显 示 “ 设 置 凭据 ”对 话 框 ， 输 入 希望 使 用 的 用 户 名 和 密码 即 可 ， 如 图 14.8 所 示 。 


PE 


图 14.8 设置 身份 验证 信息 
0 3 依次 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


2. 配置 基本 身份 验证 


基本 身份 验证 要 求 用 户 提供 有 效 的 用 户 名 和 密码 才能 访问 网 站 。 这 种 身份 验证 方法 可 以 跨 
越 服 务 号 和 代理 服务 器 ， 主 流 浏览 器 都 支持 这 种 身份 验证 方法 。 所 以 ， 当 仅 允 许 用 户 访问 服务 
器 上 的 部 分 内 容 而 非 全 部 内 容 时 ， 可 以 使 用 这 种 方法 。 这 里 以 为 company 网 站 配置 Windows 
身份 验证 为 例 讲解 设置 方法 。 


01 打开 IIS 管理 器 , 在 company 主页 中 双击 “ 身 ”2 右 击 “ 基 本 身份 验证 ”选项 ,弹出 选择 快捷 菜单 中 
份 验证 ” 打开 如 图 14.9 所 示 “ 身 份 验证 ”窗口 。 ”的 “编辑 ” 命令， 显示 如 图 14.10 所 示 “ 编 辑 基本 身份 
右 击 “基本 身份 验证 ”选项 ， 在 弹出 的 快捷 菜单 中 验证 设置 ”对 话 框 。 在 “默认 域 ”文本 框 中 输入 一 个 默 
选择 “启用 ”命令 ， 启 用 基本 身份 验证 。 认 域 或 将 其 留 空 。 将 根据 对 登录 到 该 站 点 时 未 提供 域 的 
用 户 进行 身份 验证 。 在 “领域 ”文本 框 中 ， 输 入 一 个 领 
域 或 将 其 留 空 。 一 般 而 言 ， 领 域 使 用 的 是 默认 域 的 值 。 
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提示 如果“ 领域 ”使 用 的 是 默认 域 , 则 在 用 户 和 密码 质询 期 间 ， 内 部 的 域名 可 能 会 其 韦 
A4 给 外 部 用 户 。 


3. 配置 摘要 式 身份 验证 


摘要 式 身份 验证 ， 是 使 用 Windows 域 控制 器 对 请 求 访问 Web 服务 器 内 容 的 用 户 进行 身份 
验证 。 当 需要 获得 比 基 本 省 份 验 证 更 高 的 安全 时 ， 可 以 使 用 摘要 式 身 份 验证 。 


0 二 打开 IIS 管理 器 ， 在 company 主页 中 双击 “身份 验证 ” 


打开 “身份 验证 ” 窗口 。 右 击 “ 摘 要 式 身份 验证 " 选项， ao a 
弹出 选择 快捷 中 的 “启用 ”命令 , 启用 “摘要 式 身份 验 。 | 
证 ”。 再 右 击 “ 搞 要 式 身份 验证 ”选项 ， 在 弹出 的 快捷 菜 


单 中 选择 “编辑 ” 命令， 显示 如 图 14.11 所 示 “ 编 辑 摘要 
式 身份 验证 设置 ”对 话 框 。 在 “领域 ”文本 框 中 输入 IIS 。 图 14.11 “编辑 摘要 式 身份 验证 设置 ”对 话 框 
在 对 尝试 访问 受 摘要 式 身份 验证 保护 的 资源 的 客户 端 进 
行 身份 验证 时 使 用 的 领域 。 

0 2 单 击 “ 确 定 ”按钮 ， 完 成 配置 退出 。 


提示 “摘要 式 身份 验证 要 求 将 Web 服务 器 如 入 某 个 域 或 该 计算 机 是 域 服务 器 。 如 果 要 使 
\ 闻 用 缚 要 式 身份 验证 ,必须 禁用 匿名 身份 验证 。 如 果 不 禁用 攻 名 身份 验证 ,用 户 将 可 
以 通过 匿名 方式 访问 服务 器 上 的 所 有 的 内 容 ,包括 受 限 制 的 内 容 。 不 支持 HTTP1.1 


协议 的 任何 浏览 器 都 无 法 支持 摘要 式 身份 验证 。 


14.3.3 ”授权 规则 设置 


通过 配置 Web 站 点 的 授权 规则 ， 可 以 指定 允许 授权 用 户 访问 网 站 和 应 用 程序 的 规则 ， 例 
如 允许 或 拒绝 指定 用 户 或 组 访问 网 站 等 。 这 种 授权 规则 ,可 以 是 基于 用 户 帐户 或 组 的 ,也 可 以 
是 基于 应 用 程序 角色 的 。 下 面 以 为 zhangsan 添加 拒绝 访问 规则 为 例 讲解 授权 规则 设置 方法 。 


01 选择 “开始 ”一 “管理 工具 ”一 “Internet 信息 服务 管理 器 ”命令 , 单 击 “company” 选 项 , 打开 company 

主页 。 双 击 “ 授 权 规则 ”打开 如 图 14.12 所 示 “ 授 权 规 则 ”窗口 ， 默 认 人 允许 所 有 用 户 访问 。 

0 2 在 “操作 ” 栏 中 选择 “添加 拒绝 规则 ”选项 ， 显 示 如 图 14.13 所 示 “ 添 加 拒绝 授权 规则 ”对 话 框 。 选 中 
“指定 的 用 户 ” 复 选 框 ， 输 入 “zhangsan”。 
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[Nt FEET 
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风 - 日 | 轿 | 外 | 前 授权 规则 iy 
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a@1 E23 所 有 民 户 Es 
个 所 有 得 名 用 户 中 
A 
FM: Ministreters 
个 者 证 时 8 户 ): 
FM: sl Ye 
厂 准 吉 I 训 后 于 特 老 请 司 人) 
Per 
避 下 HT, PT 
ee 全 CE mu | 
图 14.12 “授权 规则 ”窗口 图 14.13 “添加 拒绝 授权 规则 ”对 话 框 
03 单 击 “ 确 定 ”按钮 ， 即 可 将 新 建 规则 添加 到 “授权 规则 ”列表 中 。 


14.4 Web 服务 器 常规 安全 设置 


WWW 服务 已 经 成 为 众多 网 络 的 必 备 服务 ， 是 提供 信息 发 布 、 邮 件 查询 、 电 子 商务 、 网 
络 办 公 等 的 网 络 平台 。WWW 服务 的 安全 直接 决定 多 种 网 络 服务 的 安全 ， 甚 至 整个 网 络 的 安 
全 。 基 于 IS 7.0 的 WWW 服务 本 身 已 经 集成 了 多 种 安全 功能 ， 用 户 只 需 通过 简单 配置 ， 便 可 
获得 安全 可 靠 的 网 络 平台 。 


14.4.1 自 定义 错误 


自 定义 错误 是 一 把 双 刃 剑 , 它 是 一 个 优秀 的 错误 调试 工具 , 可 以 提供 站 点 出 现 问题 的 信息 。 
某 些 自 定义 错误 页 可 能 会 发 布 一 些 敏感 的 信息 ， 容 易 引发 危险 。 这 里 以 为 company 添加 一 个 
错误 页 面 并 以 302 重 定向 相应 到 http//www.contoso.com/404.aspx 为 例 。 


和 1 在 “Internet 信息 服务 管理 器 ”窗口 中 ， 依 次 选择 “WIN-HKSLEYF2MMT” 一 “网 站 ”一 “company” 
命令 ， 显 示 如 图 14.14 所 示 “company 主页 ”窗口 。 
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Merosoft 
Windows 


图 14.14 “company 主页 ”窗口 


2 双击 “错误 页 ” 图 标 ， 在 “错误 页 ”窗口 的 “操作 ” 栏 中 单 击 “ 添 加 ”连接 ， 显 示 如 图 14.15 所 示 “ 添 
加 自 定义 错误 页 ”对 话 框 。 在 “状态 代码 ”文本 框 中 输入 状态 代码 ， 选 中 “以 302 重 定向 响应 ” 单 选 按 
钮 ， 输 入 “http: //www.contoso.com/404.aspx”。 其 中 响应 操作 有 3 个 选项 ， 分 别 是 : 


将 静态 文件 中 的 内 容 插入 错误 响应 中 。 如 果 错 误 页 包括 静态 内 容 (如 html) ， 可 以 选择 
此 项 ; 

四 在 此 网 站 上 执行 URL。 如 果 错 误 页 包括 动态 内 容 (如 asp) ， 可 以 选择 此 项 ， 在 对 应 的 
“URL (相对 于 网 站 根 目录 )” 文 本 框 中 输入 自 定义 错误 页 的 相对 路 径 ; 

a 以 302 重 定向 响应 。 如 果 希 望 客户 端 被 重 定向 到 其 他 URL， 可 以 选择 此 项 ， 在 “绝对 
URL” 文 本 框 中 ， 输 入 重 定向 目标 的 完整 URL。 
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14.4.2 ”设置 内 容 过 期 


“设置 内 容 过 期 ”是 Web 服务 器 重要 的 安全 防护 措施 之 一 。 对 于 时 效 性 较 强 的 数据 信息 
(如 会 议 通 知 、 产 品 报价 等 )， 可 以 通过 设置 内 容 过 期 来 更 新 所 发 布 的 内 容 。 浏 览 器 会 自动 比 
较 当前 日 期 与 截止 日 期 , 如 果 发 现 内 容 已 过 期 则 不 再 发 布 该 数据 , 客户 端 也 不 会 显示 缓存 页 而 
是 从 服务 器 更 新 。 


01 在 “Internet 信息 服务 管理 器 ”窗口 中 , 打开 系统 默认 站 点 (Default Web Site) 主页 ， 双击 “HTTP 
响应 标 头 ” 图 标 ， 显 示 “HTTP 响应 标 头 ”窗口 。 在 “操作 ” 栏 中 ， 单 击 “ 设 置 常 用 标 头 ”链接 ， 
显示 “设置 常用 HTTP 响应 头 ” 对 话 框 ， 选 中 “使 Web 内 容 过 期 ” 复 选 框 ， 并 设置 相应 的 过 期 方 
式 。 如 图 14.16 所 示 。 


下 


ETEZTTTTITLT ol 
OO [© mo » Fis mea si 加 一 全 | 大 
文件 视 旧 开口 


a | 
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后 全 IDFNSLETPOMNT NI) A 
请 理 8 也 > Ou 开 保持 TP 连接 0 
9 分 引信 所 亲 昌 闪 开 RA 
a I | a 厂 使 Web 内 容 过 其 他); 
Si 全 立 却 0 
个 之后) 


wy> FR 


全 时间 (WR 光 耐用 时 间 0 W0) 


Fas | 
Cw ] mw | 


图 14.16 设置 常用 HTTP 响应 头 


0 2 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


14.4.3 ”禁止 目录 浏览 


如 果 开 启 目录 浏览, 访问 者 将 可 以 看 到 和 TI es 
网 站 的 目录 结构 , 可 以 防止 黑客 有 针对 性 的 。 se_asw_aam - 
破坏 。 下 面 以 禁止 Default Web Site 站 点 的 ”外 FE 
目录 浏览 为 例 介绍 操作 方法 。 Ma | 
在 “Intemet 信息 服务 (IIS) 管理 器 “” 
窗口 中 ， 打 开 默 认 站 点 (Default Web Site) 
主页 。 双击“ 目录 浏览 ”选项 ， 显 示 如 图 
14.17 所 示 “ 目 录 浏览 ”窗口 ， 如 果 启用 目 
录 浏览 ， 访 客 可 以 看 到 文件 的 日 期 、 大 小 、 | | 
扩展 名 等 信息 ， 选 中 所 有 复 选 框 , 单 击 “ 禁 ”有 EEEaeeeee 后 
用 ” 链接 ， 禁用 目录 浏览 。 图 14.17 “目录 浏览 ”窗口 
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提示 


ee IIS 7.0 默认 禁用 目录 浏览 。 
这 


14.4.4 1Pv4 地 址 控制 


默认 情况 下 ，IIS 会 自动 检查 每 个 来 访 者 的 IP 地 址 ， 通 过 IP 地 址 的 访问 来 防止 或 允许 某 
些 特定 的 计算 机 、 域 ， 甚 至 整个 网 络 访问 站 点 。 因 此 ， 通 过 IP 地 址 限制 来 在 Intemet 上 排除 未 
知 用 户 是 非常 有 效 的 方法 。 同 时 ，IIS 7.0 还 提供 了 基于 Windows 域 的 访问 限制 ， 管 理 员 可 以 
禁止 或 允许 来 自 指定 域 的 用 户 访问 站 点 或 目录 ， 该 功能 默认 是 未 启用 的 。 


1 在 “Internet 信息 服务 (IIS) 管理 器 ”的 “Default Web Site 主页 ”窗口 中 ， 双 击 “IPv4 地 址 和 域 限制 ” 
标 ， 显 示 如 图 14.18 所 示 “IPv4 地 址 和 域 限制 ”窗口 。 

0 .2 单 击 “添加 允许 条 目 ”链接 ， 打 开 “ 添 加 多 许 限制 规则 ”对 话 框 。 系 统 默认 选择 “特定 IPv4 地 址 ” 单 选 按 
钮 ， 在 对 应 文本 框 中 ， 输 入 想 要 人 允许 访问 的 单个 IP 地址 即 可 。 建 议 选 择 “IPv4 地 址 范围 ” 单 选 按钮 ， 并 输 
入 相应 的 主机 IP 地 址 和 “ 掩 码 ” 如 图 14.19 所 示 ， 可 以 同时 添加 多 个 被 允许 访问 的 主机 IP 地 址 。 
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2 四 本 的 现 o 


| 
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图 14.18 “IPv4 地 址 和 域 限制 ”窗口 图 14.19 “添加 允许 限制 规则 ”对 话 框 


03 单 击 “ 确 定 ”按钮 ， 新 创建 的 限制 规则 即 可 被 添加 到 “IPv4 地 址 和 域 限制 ”列表 中 。“ 添 加 拒绝 条 目 ” 
的 操作 步骤 与 之 类 似 ， 此 处 不 复发 述 。 

04 在 “操作 ” 栏 中 单 击 “编辑 功能 设置 ”链接 ， 显 示 如 图 14.20 所 示 “ 编 辑 IP 和 域 限制 设置 ”对 话 框 ， 
用 户 还 可 以 根据 域名 来 限制 要 访问 的 计算 机 。 在 “未 指定 的 客户 端的 访问 权 ” 下 拉 列 表 中 ， 设 置 除 指定 
的 IP 地 址 外 的 客户 端 ， 访 问 该 网 站 时 所 进行 的 操作 ， 用 户 可 以 根据 需要 在 下 拉 列 表 中 选择 “人 允许 ”或 
“拒绝 ”选项 。 若 选中 “启用 域名 限制 ” 复 选 框 ， 即 可 启用 域名 限制 。 需 要 注意 的 是 ， 通 过 域名 限制 访 
问 会 要 求 DNS 反 向 查找 每 一 个 连接 ， 这 将 会 严重 影响 服务 器 的 性 能 ， 建 议 不 要 使 用 。 

05 在 “操作 ” 栏 中 单 击 “ 恢 复 为 继承 的 项 ”链接 ， 显 示 如 图 14.21 所 示 “IPv4 地 址 和 域 限制 ”对 话 框 ， 恢 
复 功能 以 从 父 配置 中 继承 设置 ， 该 操作 将 为 当前 功能 删除 本 地 配置 设置 (包括 列表 中 的 项 目 )， 应 慎重 
使 用 。 
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TPvt 地 址 和 村 限制 
未 指定 的 客户 庙 的 访问 可 内 ); 
全 晤 " 本 地 可 秆 文件 中 针对 此 功能 的 所 有 设 轩 
厂 启用 域名 限制 
_ | Em | mw | 
图 14.20 “编辑 IP 和 域 限制 设置 ”对 话 框 图 14.21 “IPv4 地 址 和 域 限制 ”对 话 框 


06 在 “操作 ” 栏 中 单 击 “ 查 看 经 过 排序 的 列表 ”链接 ， 显 示 如 图 14.22 所 示 窗 口 。lIS 7.0 是 按照 限制 规则 列表 
中 条 目的 顺序 依次 执行 的 。 例 如 ， 当 前 规则 列表 中 包括 两 条 限制 条 目 拒绝 IP 地 址 为 192.168.1.21 的 主机 
访问 ， 人 允许 整个 192.168.1.1 一 192.168.1.254 网 段 访问 ， 即 被 拒绝 的 IP 地 址 192.168.1.21 又 在 被 允许 访问 
的 网 段 内 。 此 时 ， 如 果 经 过 排序 后 拒绝 在 先 ， 将 拒绝 指定 用 户 访问 ， 如 果 人 允许 在 先 则 将 允许 该 用 户 访问 。 
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图 14.22 查看 经 过 排序 的 列表 


0 7 在 经 过 排序 的 限制 列表 中 ， 选 择 想 要 移动 的 限制 条 目 ， 单 击 “ 上 移 ” 或 “下 移 ” 链 接 ， 即 可 调整 执行 顺序 。 


14.4.5 内容 分 级 设置 


IIS 7.0 中 的 托管 模块 设计 为 管理 员 的 工作 
提供 了 极 大 的 便利 。 .NET 信任 级 别 功能 可 以 托 
管 模块 、 处 理 程序 和 应 用 程序 指定 信任 的 级 别 。 
通过 用 户 组 可 以 对 一 组 用 户 进行 分 类 ， 并 对 定 
义 的 用 户 组 执行 与 安全 相关 的 操作 。 需 要 注意 
的 是 ， 设 置信 任 级 别 之 前 ， 必 须 先 在 “NET 用 
户 ” 窗 口中 ， 添 加 相关 的 用 户 角色 ， 该 功能 需 
要 SQL Server 2005 数据 库 的 支持 。 


01 在 “Internet 信息 服务 管理 器 ”窗口 的 站 点 (以 
Default Web site 站 点 为 例 ) 主页 中 , 双击 “.NET 
信任 级 别 ” 图 标 ， 显 示 如 图 14.23 所 示 “.NET 
信任 级 别 ” 窗 口 。 


| 加 ET 

| 

一 一 

[ES 
图 14.23 “NET 信任 级 别 ”窗口 
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02 在 “信任 级 别 ”下 拉 列 表 中 ， 选 择 适 当 的 信任 级 别 即 可 ， 系 统 默认 为 “Full (internal) ”级 别 。 各 个 信 
任 级 别 的 具体 含义 如 下 : 


@ Full (intemal) 级 别 。 指 定 不 受 限 制 的 权限 。 授予 ASPNET 应 用 程序 权限 ， 以 便 允 许 
访问 任何 符合 操作 系统 安全 性 的 资源 , 支持 所 有 特许 操作 。 该 信任 级 别 是 用 于 内 部 网 络 
的 Web 站 点 ， 安 全 性 最 低 ; 

@ High (web_hightrust.config) 。 指 定 高 级 别 的 代码 访问 安全 性 ， 表 示 在 默认 情况 下 ， 应 
用 程序 无 法 执行 下 面 任何 一 项 操作 : 
> 调用 非 托管 代码 ; 
> 调用 服务 组 件 ; 
> 向 事件 日 志 中 写 入 内 容 ; 

> 访问 消息 队列 服务 队列 ; 

> 访问 ODBC、OleDb 或 Oracle 数据 源 。 

@ Medium (web_mediumtrust.config) 。 指 定 中 等 级 别 的 代码 访问 安全 性 ， 即 默认 情况 下 ， 
除了 高 信任 级 别 的 限制 以 外 ，ASPNET 应 用 程序 还 无 法 执行 下 面 任何 一 项 操作 : 
> 访问 应 用 程序 目录 范围 之 外 的 文件 ; 
> 访问 注册 表 ; 
> 进行 网 络 或 Web 服务 调用 。 

Low (web_lowtrust.config)。 指 定 低级 别 的 代码 访问 安全 性 ， 表 示 在 默认 情况 下 ， 除 了 
中 等 信任 级 别 的 限制 以 外 ， 该 应 用 程序 还 无 法 执行 下 面 任何 一 项 操作 : 
> 向 文件 系统 中 写 入 内 容 ; 
> 调用 Assert 方法 。 

@ Minimal (web_minimaltrust.config) 。 指 定 最 低级 别 的 代码 访问 安全 性 ， 这 表明 该 应 用 
程序 只 具有 执行 权限 ， 安 全 级 别 最 高 。 


03 在 “操作 ” 栏 中 ， 单 击 “ 应 用 ”链接 ， 保 存 设置 即 可 。 


14.5 使 用 SSL 证 书 配置 安全 Web 站 点 


除 通过 上 述 基 本 措施 确保 Web 服务 器 安全 之 外 ， 管 理 员 还 可 以 使 用 SSL 证 书 搭建 安全 
Web 站 点 。 随 着 电子 商务 网 络 应 用 的 日 益 推广 , SSL 安全 协议 的 使 用 得 非常 广泛 , 目前 的 V3.0 
版 本 已 经 成 为 一 个 国际 标准 ， 并 得 到 了 所 有 浏览 器 和 服务 器 软件 的 支持 。 在 Windows Server 
2008 系统 的 IS 7.0 中 ， 可 以 通过 自 签名 证 书 或 来 自 CA 的 证 书 搭建 安全 Web 站 点 。 


14.5.1 SSL 安全 协议 概述 
SSL (Secure Socket Layer) 协议 是 Netscape 公司 研发 的 一 个 可 以 保障 用 户 在 Internet 上 传 
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输 数据 的 安全 , 确保 在 网 络 上 传输 的 数据 不 被 截取 和 窃听 的 安全 协议 。SSL 协议 提供 的 主要 服 
务 有 : 


m 认证 用 户 和 服务 器 ， 确 保 数 据 发 送 到 正确 的 客户 机 和 服务 器 上 ; 


加 密 数 据 防止 数据 被 截取 ; 


维护 数据 的 完整 性 ， 确 保 数 据 在 传输 过 程 中 不 被 改变 。 


SSL 协议 使 用 不 对 称 加 密 技术 来 实现 双方 之 间 信息 的 安全 传递 。 不 同 于 常用 的 HTTP 协 
议 ， 客 户 端 与 SSL 安全 网 站 连接 时 使 用 的 是 https 协议 ， 即 采用 https:/i# 的 方式 来 访问 。 

HTTPS( Secure Hypertext Transfer Protocol ) 安 全 超 文本 传输 协议 ,是 以 安全 为 目标 的 HTTP 
通道 ， 它 默认 使 用 443 端口 进行 通信 ， 应 用 SSL 作为 应 用 层 的 子 层 ， 适 用 于 商业 信息 的 加 密 。 


14.5.2 ”申请 服务 器 证 书 


01 在 “Internet 信息 


搭建 SSL 证 书 加 密 的 安全 Web 站 点 之 前 ,必须 先 获得 服务 器 证 书 。 如 果 网 络 中 没有 部 
署 证 书 服务 器 ， 可 以 在 IIS 服务 器 上 创建 自 签名 服务 器 证 书 ， 当 然 也 可 以 像 域 中 的 域 控制 
器 申请 服务 器 证 书 。 如 果 使 用 独立 证 书 颁发 机 构 ， 那 么 用 户 提交 证 书 申请 后 ， 需 要 以 管理 
员 身份 登录 到 证 书 服务 器 ， 手 动 颁发 所 需 证 书 。 如 果 网 络 中 没有 部 署 任何 CA， 可 以 使 用 
自动 签名 证 书 功 能 。 


“WIN-HKSLEYF2NMT (服务 器 名 ) 主页 ”双击 “ 服 


务 器 证 书 ” 图 标 ， 显 示 如 图 14.24 所 示 “ 服 务 器 证 书 ” 
窗口 。 
GO [Smear 人 
rrorr ON mE Ws 
Sg | es 
人 4 
3 全 hte va 1 | ee 
Oa 
人 
可 
ES 
各 所 


3 单 击 “ 下 一 步 ” 按钮 ， 显 示 “ 联 机 证 书 颁 发 机 构 ” 对 话 框 。 单 击 “ 选 择 ” 按钮 ， 打 开 如 区 


输入 


的 入 /市 / 自 帮 区 和 市/ 地 必须 指定 为 正式 的 名 称 ,并且 不 得 包含 六 写 
通用 名 稳 虽 : | i 


腿 务 管理 器 ”窗口 中 ， 打 开 “上 2 单 击 “ 创 建 域 证 书 ”选项 ,显示 如 图 14.25 所 示 
“可 分 辨 名 称 属性 ”窗口 。 在 “通用 名 称 ”文本 框 中 
请 证 书 的 计算 机 名 称 ， 如 果 是 为 Web 服务 器 
申请 证 书 ， 输 入 Web 服务 器 的 域名 或 IP 地 址 ， 其 他 
根据 实际 需要 填写 即 可 。 


a 可 分 诊 名 符 必 性 


所 EE| 


ED a | 陋 


图 14.24 “服务 器 证 书 ” 窗 口 


图 14.25 “可 分 辨 名 称 属性 ”窗口 


14.26 所 示 “ 选 


择 证 书 颁发 机 构 ” 对 话 框 ， 选 择 该 证 书 ， 单 击 “ 确 定 ”按钮 ， 返 回 “ 选 择 证 书 颁 发 机 构 ” 窗 口 ， 在 “好 
记名 称 ” 文 本 框 中 ， 输 入 便于 识别 的 证 书 名 称 即 可 。 
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印 联机 证 书 颁发 机 构 


指定 域内 用 对 证 书 进行 签名 的 证 书 颁发 机 构 ， 请 指定 一 个 好 记名 称 以 便于 记忆 < 
指 写 联 册 证 书 解 放 儿 构 0) 
[ 


示 便 CortsEicst thuthori tylme Serverlne 


PP [ 迁 择 证 书 领 发 机 构 | 
es 
CJ ww | 


图 14.26 选择 证 书 颁发 机 构 
04 单 击 “ 完 成 ”按钮 ， 完 成 证 书 申请 。 
提示 使 用 企业 证 书 颁发 机 构 申 请 证 书后 , 服务 器 可 以 立即 为 用 户 颁发 所 需 证 书 。 登录 证 


4 到 书 服务 器 ， 依次 选择 “开始 ”一 “管理 工具 ”一 “Certification Authority” 命 令 ， 
打开 “证 书 颁发 机 构 ” 对 话 框 ， 即 可 查看 颁发 给 Web 服务 器 的 证 书 。 


14.5.3 创建 HTTPS 安全 站 点 


SSL 证 书 只 能 应 用 于 启用 安全 设置 的 Web 站 点 , 即 HTTPS 站 点 。 获 得 应 用 于 安全 站 点 的 
服务 器 证 书后 , 即 可 开始 创建 安全 站 点 ,并 将 SSL 证 书 和 Web 站 点 绑 定 。 需 要 注意 的 是 ,HTTPS 
站 点 只 能 在 创建 SSL 证 书后 创建 ， 不 能 将 已 创建 的 HTTP 站 点 更 改 为 HTTPS 站 点 。 


1 选择 “开始 ”一 “管理 工具 ”一 “Intemet 信息 服务 管理 器 ”命令 ， 在 “连接 ” 栏 中 ， 右 击 “ 网 站 ” 链 
接 ， 在 弹出 的 快捷 菜单 中 选择 “添加 网 站 ”选项 ， 显 示 如 图 14.27 所 示 “ 添 加 网 站 ”对 话 框 ， 在 “网 站 
名 称 ”文本 框 中 输入 网 站 名 称 ， 在 “物理 路 径 ”文本 框 中 输入 网 站 的 物理 路 径 ,“ 类 型 ”下 拉 列 表 框 中 
选择 “https”，“IP 地 址 ”和 “端口 ”使 用 默认 设置 即 可 ， 在 “SSL 证 书 ”下 拉 列 表 中 ， 选 择 所 创建 的 
域 证 书 。 单 击 “ 确 定 ”按钮 ， 完 成 HTTPS 网 站 创建 。 

02 在 llS 管理 器 窗口 中 ， 单 击 新 建 的 HTTPS 网 站 显示 其 主页 ， 双 击 “SSL 设置 ”图 标 ， 显 示 如 图 14.28 
所 示 “SSL 设置 ”窗口 。 选 中 “要 求 SSL” 复 选 框 ， 可 以 选择 “需要 128 位 SSL” 复 选 框 的 加 密 算法 。 
客户 证 书 的 接受 方式 有 3 项 : 
日 忽略 : 不 要 求 客户 端 在 获得 内 容 访问 权限 之 前 验证 身份 ， 安 全 性 最 低 ; 
下 接受 :如 果 要 接受 客户 端 证 书 ,并 在 允许 客户 端 获得 内 容 访问 权限 之 前 验证 客户 端 身份 ， 

则 选择 该 设置 ; 


362 


@ 必需 :在 允许 客户 端 获得 内 容 访 问 权限 之 前 要 求证 书 验证 客户 端 省 份 。 


让 
molt ya it 


图 14.27 “添加 网 站 ”对 话 框 图 14.28 “SSL 设置 ” 窗口 


03 设置 完 后 ， 在 “操作 ” 栏 中 单 击 “ 应 用 ”选项 ， 完 成 设置 。 


14.5.4 浏览 HTTPS 网 站 


由 于 HTTPS 网 站 , 采用 了 SSL 安全 设置 ， 这 要 求 访问 该 服务 器 网 站 的 客户 端 必须 提供 有 
效 的 数字 证 书 。 管 理 员 可 以 将 Web 服务 器 上 使 用 的 SSL 证 书 导 出 为 文件 ， 然 后 发 布 到 客户 端 
并 导入 到 受信 任 的 根 证 书 颁 发 机 构 。 


四 1 登录 到 Web 服务 器 ， 在 1IS 管理 器 中 选择 Web 服务 器 名 称 ， 双 击 “ 服 务 器 证 书 ” 打开“ 服务 器 证 书 ” 
窗口 。 选 择 安全 站 点 使 用 的 SSL 证 书 ， 右 击 并 选择 快捷 菜单 中 的 “导出 ”选项 ， 显 示 如 图 14.29 所 示 
“导出 证 书 ” 对 话 框 。 单 击 “ 浏 览 ”按钮 ， 选 择 证 书 的 保存 路 径 ， 并 设置 证 书 文件 名 ， 或 者 在 “导出 至 ” 
文本 框 中 直接 输入 。 在 “密码 ”和 “确认 密码 ”文本 框 中 ， 设 置 一 个 密码 。 单 击 “ 确 定 ”按钮 即 可 将 证 

导出 。 导 出 后 的 证 书 是 一 个 扩展 名 为 .pfx 的 文件 。 


图 14.29 “导出 证 书 ” 对 话 框 


0 2 通过 某 种 方式 , 将 该 证 书 发 布 给 客户 端 用户 。 在 客户 端 计算 机 上 , 双击 证 书 文件 , 启动 “证 书 导入 向 导 ”。 
依次 单 击 “ 下 一 步 ” 按钮， 选择 要 导入 的 证 书 文件 和 输入 导入 密码 ， 如 图 14.30 所 示 。 在 “密码 ”文本 
框 中 输入 导出 证 书 时 设置 的 密码 即 可 。 
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OD 和 如 果 启 月 这 个 选项 ， 每 次 应 用 程序 使 用 私 #8 寺 您 者 会 


日 村 志 此 克 钥 为 可 导 反 演 钥 。 这 析 多 许 您 在 稍 后 备份 或 伟 畏 于 钥 如 。 


后 忆 括 所 有 扩展 属性 。 


了 解 企 这 入 3 更 多 信息 


图 14.30 选择 要 导入 的 证 书 和 密码 
0 3 单 击 “ 下 一 步 ” 按钮 ， 显 示 “证 书 存储 ”对 话 框 。 选 择 “将 所 有 的 证 书 放 入 下 列 存储 ” 单 选 按钮 ， 单 击 
“浏览 ” 按钮 ， 显 示 如 图 14.31 所 示 “ 选 择 证 书 存储 ”对 话 框 。 选择 “受信 任 的 根 证 书 颁 发 机 构 ”选项 ， 
并 单 击 “ 确 定 ”按钮 。 
ED 


证 书 存 隧 
证 书包 是 保存 证 书 的 系统 区 域 。 


全 dovs 本 以 自动 四书 和 请， 要 帮 人 可 以 为 书 指定 一 个 人 置 。 运 反 证 书 存储 


选择 要 使 用 的 证 书 存储 C)。 


L 
日 


图 14.31 选择 证 书 存储 

04 单 击 “ 下 一 步 ” 按钮， 显示“ 正在 完成 证 书 导入 向 导 ” 对 话 框 。 单 击 “ 完 成 ”按钮 ， 显 示 如 图 14.32 所 
示 “ 安 全 性 警告 ”对 话 框 。 要 求 确认 是 否 信任 该 证 书 颁发 机 构 。 单 击 “ 是 ”按钮 ， 即 可 将 该 证 书 导入 本 
地 计算 机 。 

05 打开 IE 浏览 器 ， 在 地 址 栏 中 输入 网 站 地 址 ， 格 式 为 : httpsJ/Web 服务 器 名 ， 回 车 ， 显 示 如 图 14.33 所 
示 “ 选 择 数字 证 书 ” 对 话 框 。 
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Be = 
PE 让 书 一 
web.coolpen.nat 身份 验证 
Windows 不 能 三 认证 书 是 否 未 咎 "web coolpen net'。 怎 应 访 与 全 和 
“Web.coolpen.net" 联系 , 以 殉 认 证 书 来 天。 下 八字 次 在 此 过 各 中 对 2 
i EE 全 痛 
J [shal: C72EB90F 9AC49ASC 041EF6F3 DAD2D2ED E7FBIA3C 
WE Windows 将 写 动 信任 所 有 此 CA 需 改 的 证 世 。 安 
EA EE 是 ” , 则 去 示 N 首 此 风 
RE ET TE 
| | CC ]| 
图 14.32 “安全 性 警告 ”对 话 框 图 14.33 “选择 数字 证 书 ”对 话 杠 
0 6 单 击 “ 确 定 ” 按钮 ， 即 可 打开 该 网 站 。 在 地 址 栏 右 例 会 显示 一 个 锁 形 标识 ， 如 图 14.34 所 示 。 表 示 当 前 
正在 使 用 证 书 进行 加 密 传输 。 
[ETE ee oe ee 
OO [wn ~ lo |x| ee 园 
次 从 | 各 hpcyalL822182251 | 全 "加 :号 v | 
Web 网 站 测试 页 
3 nemet | Rp 区 本 大 100% ~ 


图 14.34 ”使 用 证 书 传输 


提示 “浏览 Web 安全 网 站 需要 客户 端 浏览 器 对 SSL 协议 的 支持 ,否则 将 无 法 打开 经 过 SSL 
秆 加 这 的 安全 站 点 可 以 在 但 浏览 器 窗口 中 选择 “工具 ”一 “Intemet 选项 ”一 “高 
级 ”命令 中 查看 。 


14.5.5 ”SSL 证 书 安全 漏洞 及 防范 措施 


1. SSL 证 书 安全 漏洞 


由 于 传统 的 防火 墙 和 网 关 反 病毒 方案 并 不 能 扫描 到 加 密 通 信 , 因此 也 就 不 能 控制 那些 通过 
HTTPS 进入 和 流出 网 络 的 内 容 。SSL 常见 的 安全 问题 有 下 面 三 种 。 


(1) 攻击 证 书 


随 着 SSL 安全 技术 的 广泛 应 用 ， 第 三 方 认证 机 构 也 不 断 涌现 。 很 多 Web 网 站 都 向 认证 机 
构 申请 安全 证 书 ， 过 于 信任 公共 CA 机 构 ， 将 会 隐藏 巨大 的 安全 。IIS 7.0 服务 器 提供 的 “客户 
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端 证 书 映射 ”功能 ， 用 于 将 客户 端 提交 证 书 中 的 名 字 映 射 到 系统 用 户 帐 户 。 这 种 情况 下 , 访问 
者 将 可 以 获取 该 系统 管理 员 的 特权 。 
暴力 攻击 证 书 是 一 种 常用 且 有 效 的 攻击 , 它 只 需 猜 测 一 个 有 效 的 用 户 名 , 而 不 用 猜测 用 户 
名 和 密码 。 首 先入 侵 者 编辑 一 个 可 能 的 用 户 名 列表 ， 用 这 些 用 户 向 CA 机 构 申请 证 书 。 其 中 每 
个 证 书 都 用 于 尝试 获取 访问 权限 。 用 户 名 越 多 ， 其 中 一 个 证 书 被 认可 的 可 能 性 也 就 越 高 。 

(2) 窃取 证 书 

证 书 有 一 个 致命 的 弱点 ， 那 就 是 私 钥 。 私 钥 往 往 被 放 在 本 地 计算 机 上 ,这 很 容易 被 入 侵 者 
利用 特洛伊 木马 获取 。 所 以 应 将 证 书 保存 在 移动 存储 设备 中 ,与 计算 机 脱离 ， 当 需要 的 时 候 再 
连接 。 

(3) 安全 言 上 

由 于 HTTPS 是 加 密 通 信 ， 安 全 扫描 软件 只 能 查找 普通 Web 站 点 的 安全 言 点 ， 却 无 法 检查 
经 过 SSL 保护 的 服务 器 。 

2. 安全 防范 措施 

尽管 采用 SSL 协议 的 Web 站 点 可 能 存在 各 种 漏洞 ， 但 相对 而 言 其 安全 性 还 是 比 普通 Web 
站 点 要 高 很 多 。 所 以 对 安全 性 较 高 的 站 点 应 尽量 采用 SSL 证 书 加 密 。 同 时 还 可 以 采用 第 三 方 
软件 对 Web 安全 站 点 进行 安全 防护 。 

(1) 安全 ISA 防火 墙 

微软 于 2008 年 4 月 8 日 发 布 了 ISA Server 新 一 代 版 本 Forefront TMG 的 测试 版 ， 和 以 往 
ISA 相 比 ，TMG 具有 划时代 的 企业 安全 产品 。 主 要 功能 如 下 : 

四 企业 级 的 整合 与 管理 ; 

四 架构 变更 与 提升 ; 

和 Web 反 病 毒 与 过 滤 ; 

到 人 性 化 管理 与 集成 操作 。 

(2) Web 安全 服务 器 

入 侵 检测 只 能 检测 纯 文本 的 数据 内 容 ， 若 想 检测 SSL 安全 站 点 的 通信 记录 ， 可 以 检测 服 
务 器 上 的 SSL 连接 ， 或 者 将 连接 上 的 数据 转换 为 纯 文本 格式 。 一 般 网 站 都 会 开启 基本 的 日 志 
记录 功能 。 例 如 IIS 内 置 的 日 志 功 能 ， 可 以 检查 到 很 多 一 般 网 站 的 入 侵 事 件 。 


14.6 ”FTP 服务 安全 


FTP 服务 器 的 主要 功能 是 提供 文件 上 传 和 下 载 , 可 以 帮助 用 户 实现 软件 的 下 载 、 文件 的 交 
换 与 共享 、 以 及 Web 站 点 的 维护 等 。 由 于 FTP 以 明文 形式 传送 信息 ， 所 以 很 容易 被 其 他 用 户 
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截获 。 因 此 ， 对 基于 IIS 的 FTP 服务 器 必须 实施 相关 安全 措施 。 安 装 HS 7.0 过 程 中 ， 默 认 没 
有 安装 FTP 服务 ， 用 户 需要 手动 添加 。FTP 服务 管理 仍然 采用 IIS 6.0 管理 控制 台 ， 因 此 必须 
同时 安装 “IIS 6.0 管理 兼容 性 ”组 件 。 


14.6.1 禁止 匿名 访问 


默认 情况 下 , 在 IS 上 架构 的 FTP 站 点 , 用 户 都 可 以 用 IUSR_SERVERNAME 帐户 连接 该 
FTP 服务 器 ， 使 用 anonymonus 帐户 ， 密 码 可 以 使 用 任何 内 容 ， 就 能 匿名 登录 FTP 站 点 。 


01 在 “Intemet 信息 服务 6.0 管理 器 ” 窗口 中 , 依 多 ”2 单 击 “ 是 ”按钮 ， 关闭“IIS6 管理 器 ”对 话 框 。 
展开 “WIN-HKSLEYF2MMT” 一 “FTP 站 点 ”选项 ， ”在 “安全 帐户 ”选项 卡 中 ， 单 击 “ 确 定 ” 按 钮 ， 即 
右 击 FTP 站 点 (以 Default FTP Site 为 例 )， 选 择 快捷 ”可 禁止 用 户 匿名 访问 该 FTP 站 点 , 如 图 14.36 所 示 。 
菜单 中 的 “属性 ”命令 ,显示 “Default FTP Site 属性 ” 
对 话 框 。 切 换 至 “安全 帐户 ”选项 卡 ， 取 消 “ 人 允许 匿名 
连接 ” 复 选 框 ， 显 示 如 图 14.35 所 示 “IIS6 管理 器 ”对 
话 框 。 

b= 相同 

J 站 点 “ 餐 全 帐户 | 消息 | 主 目录 | 目录 安全 性 | PT 站 点 “安全 帐户 | 消息 | 主 下 好 | 目录 安全 性 | 


厂 了 六 攻 名 连 梳 D) 一 一 = 全 
对 匿名 访问 使 用 下 列 央 mdows 月 户 帐户 ; 


Et 0 


衣 | FA | 取 少 | 应 Ww | 二 
图 14.35 “IIS6 管理 器 ”对 话 框 图 14.36 “安全 帐户 ”选项 卡 


当 禁 止 用 户 匿名 连接 后 ， 只 有 服务 器 或 活动 目录 中 


rr 站 点 实 全 由 户 | 江 各 | 主 旧 录 | 安全 性 | 


有 效 的 帐户 ， 才 能 通过 身份 认证 ， 并 实现 对 该 FTP 站 点 sssao 


列 民 名 沪 问候 二 下 列 fiatvs 司 请 帐户 


的 访问 。 SS 
除 禁 止 匿名 连接 外 ， 还 可 以 在 本 地 计算 机 或 域 控制 。 mn 一 一 


器 上 ， 创 建 专用 于 FTP 连接 的 匿名 用 户 帐 户 (区别 于 系 es 
统 默 认 的 IUSR_ 服 务 器 名 帐户 ), 对 其 在 FTP 主 目录 或 单 
个 文件 夹 的 权限 进行 限制 ， 实 现 FTP 服务 器 的 安全 。 选 
中 “人 允许 匿名 连接 ” 复 选 框 ， 单 击 “ 浏 览 ” 按 钮 ， 选 择 
指定 用 户 帐户 即 可 。 单 击 “ 应 用 ”按钮 ， 系 统 将 自动 添 
加 对 应 帐户 的 密码 ， 如 图 14.37 所 示 。 如 果 选 择 “ 人 允许 匿 


| ] 参 | 本 ww | 策 


14.37 更改 匿名 连接 帐户 
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名 连接 ” 复 选 框 ， 用 户 将 无 法 使 用 用 户 名 和 密码 登录 FTP 服务 器 。 此 选项 拒绝 访问 使 用 具有 
管理 凭据 帐户 的 那些 用 户 ， 而 只 为 使 用 匿名 访问 帐户 的 用 户 指派 访问 权限 。 


14.6.2 TCP 端口 和 连接 数 设 置 


FTP 默认 的 端口 号 是 21， 恶 意 用 户 可 以 用 扫描 
器 探测 到 该 服务 器 已 经 开放 了 FTP 且 如 果 站 点 连接 
为 不 受 限制 的 话 ， 恶 意 用 户 可 以 无 数 次 连接 该 服务 
器 的 21 端口 ， 导 致 服务 器 的 CPU 和 内 存 资 源 使 用 
率 达 到 100%， 使 其 无 法 正常 运行 。 

在 “Internet 信息 服务 6.0 管理 器 ”窗口 中 ， 右 
击 “Default FTP Site” 选 项 ,在 弹出 的 快捷 菜单 中 选 
择 “ 属 性 ”命令 ， 打开“Default FTP Site 属性 ”对 
话 框 。 默认 显示 如 图 14.38 所 示 “FTP 站 点 ”选项 卡 ， 
在 “TCP 端口 ”文本 框 中 输入 未 被 占用 的 其 他 端口 
号 ， 选 中 “连接 数 限制 为 ” 单 选 按钮 ， 根 据 实际 情 


"mH 站 点 | 去 和 帐户 | 消息 “| 主 目 好 | 目 好 安全 性 | 


ITP 站 点 标 闪 
0 FE 
mo [ER 
Tr Mm: Er 
TTP 站 点 连 痪 
7 更 限 抽 由 
连接 雪人 为 四 门 wm 
连接 超 时 叱 ) C); 120 

启用 日 忘记 录 0) 

活动 日 志 格式 W) 

| sc 扩展 日 志文 件 格式 避风. 

当前 会 舌 呈 ， 


L 柄 ]_ 梢 | 睛 和 | 屿 


14.38 “Default FTP Site 属性 ”对 话 框 


况 在 “连接 数 限制 为 ”文本 框 中 输入 限制 连接 数 ， 

在 “连接 超时 ”文本 框 中 输入 超时 时 间 。 
常规 | 高 级 | 

新 日 志 计 划 

个 每 00 


提示 在 命令 提示 符 窗 口中 通过 “netstat-a” 命 

4 令 查 看 已 经 使 用 了 哪些 端口 。 更 改 端 口 
后 , 要 访问 该 FTP 站 点 必须 指定 端口 号 。 
默认 已 经 启用 了 日 志 记 录 ， 管 理 员 可 以 
单 击 “ 属 性 ”按钮 来 设置 日 志 记录 属性 ， 
如 图 14.39 所 示 。 


个 每 天 0) 
个 每 周 人 0 
个 每 月 人 0 
CT 限 伸 文件 夏 由 
个 当 文件 大 小 过 到 人 ): 


厂 文件 命名 和 季 津 使 用 当地 时 间 (1) 
日 志文 件 目录 0) - 


FE Windors\systen32\Logriles 浏览 @ 


日 志文 件 名 :NSFIFSYCl\exyynadd log 


图 14.39 “日 志 记 录 属 性 ”窗口 


14.6.3 TCP/IP 地 址 访问 限制 设置 


通过 对 他 地 址 的 限制 ， 可 以 只 允许 或 拒绝 某 些 特定 范围 内 的 计算 机 访问 该 FTP 站 点 ， 从 
而 可 以 在 很 大 程度 上 避免 来 自 外 界 的 恶意 攻击 ， 并 且 将 授权 用 户 限制 在 某 一 个 范围 。 将 他 地 
址 限制 与 用 户 认证 访问 结合 在 一 起 ， 将 进一步 提高 FTP 站 点 访问 的 安全 性 。 特 别 是 对 于 企业 
内 部 的 FTP 站 点 而 言 ， 采 用 卫 地址 限制 的 方式 ， 是 非常 简单 而 有 效 的 。 
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0 1 打开 FTP 站 点 属性 对 话 框 ， 切 换 到 “目录 安全 性 ”选项 卡 ， 选 择 “ 拒 绝 访问 ” 单 选 按钮 ， 表 示 黑 认 情 况 
下 所 有 计算 机 均 被 拒绝 访问 ， 只 有 将 要 添加 的 IP 地 址 用 户 可 以 访问 。 相 反 ， 也 可 以 设置 为 默认 情况 下 
所 有 计算 机 都 将 被 “允许 访问 ”， 然 后 创建 需要 拒绝 访问 的 IP 地 址 列表 。 单 击 “ 添 加 ”按钮 ， 显 示 如 图 
14.40 所 示 “ 授 权 访问 ”对 话 框 , 默认 选择 “一 合计 算 机 ” 单 选 按钮 ， 每 次 只 能 添加 一 个 IP 地址。 建议 
选择 “一 组 计算 机 ” 单 选 按钮 在 “网 络 标识 ”和 “ 子 网 掩 码 ”文本 框 中 ， 输 入 相应 的 网 络 标识 信息 ， 
添加 一 个 网 段 内 的 所 有 IP 地 址 。 

0 2 单 击 “ 确 定 ”按钮 ， 将 该 所 选 IP 地 址 或 IP 地 址 段 添加 至 “下 列 除外 ”列表 中 ， 如 图 14.41 所 示 。 创 建 
“拒绝 访问 ”IP 地 址 列表 的 方法 与 之 相同 ， 此 处 不 复 费 述 。 


Defwlt TP Site 属性 一 
TTP 站 点 | 安全 由 户 | 消息 | 主 目录 目录 安全 性 | Defenlt TF Sits 属性 


i rm 站 点 | 安全 由 户 | 消息 ”| 主 局 录 目录 安全 性 | 
默认 情 吕 下 ， 所 有 计 其 机 才 符 禄 。 g7 玉 授 可 访问 呈 ) TCM 地 直 询 绢 制 一 一 一 一 一 一 一 一 一 一 一 一 一 
Re 图 把 间 胃 中 情 吕 下， 所 有 计算 有 都 桂 被 。 7 玉 授权 访问 
-= TIN Be 
ES 


Epo 
地 | L 

Cf 一 台 计 莽 机 G) 

个 一 组 计算机 (6) 


标识 中; 了 网 抽 入 遇 ; 


ie...1 .1 ess .ss .2s5. of 


| Cw |] mw | am| 确定 | 。 取 油 | 应 用 W | 。 二 
图 14.40 “授权 访问 ”对 话 框 图 14.41 创建 成 功 的 授权 访问 IP 地 址 
0 3 单 击 “确定 ”按钮 ， 保 存 设置 即 可 。 


14.6.4 设置 NTFS 访问 权限 


默认 情况 下 ， 在 FTP 服务 器 上 只 能 为 文件 设置 简单 的 “ 读 取 ”和 “ 写 入 ”权限 ， 并 且 默 
认 本 地 服务 器 或 域 中 所 有 的 用 户 都 具有 访问 权限 。 有 时 需要 为 用 户 设置 更 详细 的 权限 , 这 就 要 
借助 于 NTFS 权限 来 实现 。 通 常 ， 将 FTP 服务 器 与 NTFS 权限 相 结合 ， 和 文件 服务 器 一 样 ， 
为 FTP 站 点 中 的 文件 设置 多 种 不 同 的 权限 ， 以 满足 不 同 用 户 的 使 用 。 


01 在 “文件 夹 属性 ”对 话 框 的 “安全 ”选项 卡 中 ， 单 击 “ 编 辑 ” 按 钮 ， 显 示 “coolpen 的 权限 ”对 话 框 ， 
默认 只 保留 了 Administrators 用 户 组 。 单 击 “ 添 加 ”按钮 ， 显 示 如 图 14.42 所 示 “ 选 择 用 户 、 计 算 机 或 
组 ”对 话 框 ， 在 “输入 对 象 名 称 来 选择 ”文本 框 中 输入 将 要 分 配 读 写 权限 的 用 户 ， 例 如 Ihn， 或 者 单 击 
“高 级 ”按钮 查找 。 

02 单 击 “ 添 加 ”按钮 ， 即 可 添加 该 用 户 并 返回 权限 对 话 框 ， 选 择 新 添加 的 用 户 ， 在 权限 列表 中 即 可 选择 将 
要 分 配 的 权限 ， 共 有 6 种 权限 可 供 选择 ， 分 别 是 : 完全 控制 、 修 改 、 读 取 和 执行 、 列 出 文件 来 目录 、 读 
取 和 写 入 。 单 击 “ 确 定 ”按钮 保存 并 返回 “安全 ”选项 卡 。 
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迁 择 用 户 、 计 算 机 或 外 d 


[LL.  ) 
EE 

Mnirisraters RC) be 中. 
二 口 。 输入 名和 闲适 生还 动 四) 

和 mr 9 四 二 入 口 
列 沸 文件 夹 目录 口 

该 口 

J 8 - 了 请 


图 14.42 添加 希望 设置 NTFS 权限 的 用 户 或 组 


3 如 果 要 为 该 用 户 分 配 更 详细 的 权限 ， 可 在 “安全 ”选项 卡 中 单 击 “高 级 ”按钮 ， 显 示 “coolpen 的 高 级 


安全 设置 ”对 话 框 ， 单 击 “ 编 辑 ” 按钮 ， 在 “权限 项 目 ” 列 表 框 中 


按钮 ， 显 示 如 
限 ， 


有 14 种 权限 可 供 选择 。 


选择 欲 设置 的 用 户 帐户 ， 单 击 “ 编 辑 ” 


14.43 所 示 “coolpen 的 权限 项 目 ” 对 话 框 ， 在 “权限 ”列表 框 中 可 以 选择 更 详细 的 权 


四 -。1*> 的 权限 硕 目 4 
现 | 
[| 
| Er | 
ED DE 应 用 于 如 ;|[ 文 伯 天 ， 子 文件 天 及 文件 了 
对 Dienlyen 权限 中 Xi 措 
NW 二 拉 制 口 口 习 
IT Tm 这 历久 件 夫 / 执 行文 件 日 口 
TY 村 区 有 流 X 于 文 件 炎 / 计 要 所 8 9 
次 扩展 展 往 日 口 
人 文件/ 写 和 数据 日 口 
多 文件 夫 /附加 要 提 日 口 
SR 昌 日 
0 | Mv. | mw | 4 文件 夫 有 文件 0 0 
[bd [2 回 DO 引 
| 中 肥 人 全 部 天际 由 
SB RR 
CE] wm | sn | 将 | 了 


图 14.43 ”更改 高 级 安全 设置 


04 选择 完成 后 ， 依 次 单 击 “ 确 定 ”按钮 保存 即 可 。 


利用 这 种 方式 设置 的 用 户 权 限 更 加 详细 ， 可 以 精确 到 是 否 允 许 用 户 读 取 、 删 除 、 删 除 子 文 
件 夹 及 文件 、 创 建文 件 或 文件 夹 等 ， 从 而 可 以 更 好 地 控制 用 户 对 FTP 文件 夹 的 访问 。 


14.6.5 ”使 用 磁盘 配额 限制 可 用 空间 


默认 情况 下 ，FTP 服务 器 并 不 了 
限时 , 用 


民 制 用 户 上 传 文件 的 总 大 小 , 因 


占用 。 为 了 保护 硬盘 空间 ， 应 当 启 有 


此 ， 当 为 FTP 用 户 赋予 了 写 入 权 


户 就 可 以 向 FTP 服务 器 中 上 传 任意 大 小 的 文件 ， 从 而 导致 服务 器 中 宝贵 的 硬盘 空间 被 迅速 
有 磁盘 配额 功能 ， 来 限制 每 个 用 户 使 用 磁盘 空间 的 大 小 。 


FTP 服务 器 本 身 并 没有 提供 磁盘 限额 功能 , 需要 借助 Windows Server 2008 系统 中 的 NTFS 文件 
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系统 来 实现 。 因 此 ，FTP 主 目录 必须 位 于 NTFS 格式 的 分 区 ，FAT32 文件 系统 无 法 设置 磁盘 配额 。 

为 用 户 设置 了 磁盘 配额 以 后 , 当 用 户 上 传 的 文件 超出 空间 限制 或 者 到 警告 等 级 时 ,系统 将 
自动 发 出 警告 , 提示 用 户 超出 空间 配额 上传 操 作 不 能 完成 等 信息 。 关 于 磁盘 配额 的 设置 ,请 
参见 本 书 中 的 相关 内 容 ， 这 里 不 再 资 述 。 


小 结 


Web 和 FTP 是 网 络 中 应 用 最 广 的 网 络 服务 。 Windows Server 2008 系统 集成 的 IS 7.0 组 件 ， 
无 论 是 安全 性 还 是 可 管理 性 , 都 有 了 很 大 的 提高 ,允许 管理 员 通 过 多 种 安全 机 制 ,保护 服务 器 
和 访问 连接 的 安全 。 在 Web 服务 器 安全 管理 中 ,管理 员 可 以 设置 NTFS 访问 权限 、 身 份 验证 、 
IPv4 地 址 控制 等 功能 。 在 FTP 服务 器 安全 管理 中 ， 主 要 设置 禁止 匿名 用 户 访问 、NTFS 访问 
权限 和 磁盘 配额 等 功能 。 除 此 之 外 ， 服 务 器 配置 文件 和 站 点 主 目录 的 备份 也 是 非常 重要 的 。 


习 题 


1. IIS 7.0 与 IS 6.0 相 比 有 了 哪些 安全 改进 ? 
2. 如 何 备份 基于 IIS 7.0 的 Web 服务 器 配置 信息 ? 
3. 用 户 可 以 通过 那些 方法 确保 FTP 服务 器 的 安全 ? 


实验 : 保护 Web 服务 器 安全 


实验 目的 

掌握 保护 IIS 7.0 安全 的 主要 措施 。 

实验 内 容 

通过 各 种 措施 ， 确 保 基 于 IIS 7.0 的 Web 服务 器 和 站 点 的 安全 。 


1. 为 Web 站 点 主 目录 设置 NTFS 访问 权限 。 
2. 为 指定 虚拟 目录 设置 内 容 过 期 期 限 。 

3. 设置 基本 身份 验证 方式 。 

4. 禁止 指定 他 地 址 的 用 户 访问 网 站 。 
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Windows 防火 墙 


Windows Server 2008 的 防火 墙 是 一 款 基于 主机 的 状态 防火 墙 ， 已 经 被 预 


先 安装 ， 


与 Windows Server 2003 相 比 不 仅 安全 性 高 ， 而 且 易于 管理 和 配置 。 


具有 高 级 安全 性 的 Windows 防火 墙 结合 了 主机 防火 墙 和 IPSec, 在 计算 机 上 运 
行 时 ,对 可 能 穿越 边界 网 络 或 源 于 组 织 内 部 的 网 络 攻击 提供 本 地 保护 。 不仅 如 
此 , 还 提供 计算 机 到 计算 机 的 安全 连接 , 轻松 实现 对 通信 要 求 身 份 验证 和 数据 


保护 。 


本 章 导 读 


量 Windows 防火 墙 的 基本 配置 


量 使 用 


加 使 


命令 行 配置 Windows 防火 墙 
组 策略 配置 Windows 防火 墙 


四 Windows 防火 墙 事件 审核 配置 


第 15 章 “Windows 防火 墙 | 


15.1 Windows 防火 墙 


默认 状态 下 ，Windows 防火 墙 已 经 处 于 开启 状态 ， 能 够 提供 基本 的 安全 防护 功能 ， 保 护 
内 部 网 络 免 受 恶意 攻击 者 的 入 侵 。 当然, 除了 使 用 默认 配置 外 , 用 户 还 可 以 根据 需要 开启 或 关 
闭 防 火 墙 。 在 Windows Server 2008 中 ，Windows 防火 墙 的 基本 配置 变化 不 大 ， 拥 有 系统 管理 
员 权限 的 用 户 帐户 ， 就 可 以 在 控制 面板 中 打开 并 配置 Windows 防火 墙 。 


15.1.1 Windows 防火 墙 概述 


Windows Server 2008 系统 的 帐户 控制 功能 默认 是 启用 的 ， 普 通 帐户 必须 得 到 管理 员 帐 户 
的 授权 后 ， 才 可 以 配置 Windows 防火 墙 。 依 次 选择 “开始 ”一 “控制 面板 ”命令 ， 打 开 “ 控 
制 面板 ”窗口 。 单 击 “ 经 典 视图 ”超级 链接 ， 切 换 到 经 典 模式 ， 双 击 “Windows 防火 墙 ” 图 
标 ， 打 开 “Windows 防火 墙 ”窗口 。 单 击 “ 更 改 设置 ”超级 链接 ， 即 可 打开 “Windows 防火 
墙 设置 ”对 话 框 。 

1. “常规 ”选项 卡 

在 如 图 15.1 所 示 “ 常 规 ” 选 项 卡 中 , 可 以 为 所 有 连 
接 启 用 或 关闭 Windows 防火 墙 ， 而 且 “ 阻 止 所 有 传 入 [re | 
连接 ”也 是 一 个 非常 好 用 的 选项 ,特别 是 当前 连接 到 的 et 
网 络 存 在 严重 的 安全 隐患 时 , 该 选项 能 够 临时 让 系统 禁 网 camm 
止 “ 例 外 ”选项 卡 中 设置 的 任何 程序 或 服务 访问 网 络 ， 0 bles de 
一 旦 本 地 服务 器 系统 处 于 一 个 比较 安全 的 工作 环境 时 ， 
再 取消 “阻止 所 有 传 入 连接 ”选项 的 选中 状态 ,恢复 之 ce 
前 的 正常 操作 。 [eT 


案 如 | 人 | 次 级 | 


启用 了 服务 器 系统 的 防火 墙 功能 后 ， 在 默认 状态 et 
下 ， 该 防火 墙 程序 会 同时 拦截 所 有 程序 去 访问 外 部 网 “| sa 
络 ， 除 了 在 “例外 ”选项 卡 中 设置 的 选项 外 。 一 
Windows 防火 墙 有 3 种 设置 0 


图 15.1 “常规 ”选项 卡 
启用 。Windows 防火 墙 在 默认 情况 下 是 处 于 打开 
状态 的 ， 通 常情 况 下 ， 建 议 保留 此 设置 。 此 时 ，Windows 防火 墙 会 阻止 所 有 到 计算 机 
的 未 经 请 求 的 连接 ， 但 不 包括 在 “例外 ”选项 卡 中 选中 的 程序 或 服务 所 发 出 的 请 求 ; 
下 启用 时 阻止 所 有 传 入 连接 。 如 果 选 中 “阻止 所 有 传 入 连接 ” 复 选 框 ， 则 Windows 防火 
墙 会 阻止 所 有 到 计算 机 的 未 经 请 求 的 连接 ,“ 例 外 ”选项 卡 中 的 程序 和 服务 也 将 不 能 连 
接 网 络 。 使 用 该 设置 可 以 为 计算 机 提供 最 大 程度 的 保护 。 需 要 注意 的 是 ， 此 时 某 些 程序 
可 能 会 无 法 正常 工作 ; 
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里 关闭。 如 果 关 闭 Windows 防火 墙 , 则 计算 机 很 容易 受到 非法 入 侵 者 或 Internet 病毒 的 侵 
害 。 此 设置 只 适用 于 高 级 用 户 ， 或 计算 机 有 第 三 方 防火 墙 的 保护 下 使 用 。 


荣 夫 例外 | 高 | 
m i bt 
2. “例外 ”选项 卡 He At 二 Pt, PY 


在 如 图 15.2 所 示 “ 例 外 ”选项 卡 中 设置 能 够 直接 访 。 me 


问 网 络 的 程序 或 服务 ， 可 以 直接 通过 单 击 “ 添 加 程序 "| |3 芝 辐 中 
“添加 端口 ”按钮 来 自行 添加 需要 访问 外 部 网 络 的 程序 
或 服务 ， 解 除 系统 防火 墙 程序 对 网 络 访问 的 阻止 。 


j 
口 详 全 人 议 
口 分 布 式 事务 协调 器 DTC) 


FT 


厂 indows 防火 雯 阻止 新 程序 时 通 为 我 @) 


CJ ww | mn 
图 15.2 “例外 ”选项 卡 
3: “高 级 ” 选项 卡 Windevs 防火 培 设 置 
在 如 图 15.3 所 示 “ 高 级 ”选项 卡 中 ,可 以 根据 本 地 [全 bom pene 
服务 器 系统 中 多 条 网 络 连接 的 情况 ， 选 择 需 要 受 防火 墙 。 Bw 
保护 的 目标 网 络 连接 。 如 果 发 现 防火 墙 中 有 许多 参数 没 | | 2 
有 配置 正确 , 或 防火 墙 出 现 故障 , 用 户 可 以 直接 单 击 “ 还 本 
原 为 默认 值 ” 按 钮 ， 快 速 取消 所 有 的 参数 修改 操作 ， 将 总 
系统 防火 墙 的 参数 设置 恢复 到 系统 起 初 安装 时 的 状态 。 


末 规 | 例外 高 织 | 


旺 


还 了 为 凡 值 8) 
于 里 可 以 控 到 | ZCWE 和 日 志 记 灵 设 团 ? 
Wm | 用 吕 ) 
图 15.3 “高 级 ”选项 卡 
已 还 原 为 默认 值 后 ， 用 户 自 定义 的 所 有 “例外 ”项 目 都 将 被 删除 ， 所 有 设置 和 选项 都 
鸠 还 原 到 原始 状态 。 


还 原 为 改 认 值 确认 划 


ES 


使 用 “还 原 为 默认 值 ”按钮 ， 可 能 会 使 mtemet 连 
接 共享 (ICS) 和 网 桥 出 现 故 障 , 显示 如 图 15.4 所 示 “ 还 


是 中 “| 下 一 


图 15.4 “还 原 为 默认 值 确认 ”对 话 框 
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15.1.2 允许 /限制 端口 访问 


端口 可 以 认为 是 计算 机 与 外 界 通信 交流 的 出 口 。 开 启 的 端口 在 提供 网 络 应 用 的 同时 , 很 可 
能 成 为 恶意 用 户 入 侵 的 通道 。 打开 端口 就 像 是 在 防火 墙 上 打 一 个 漏洞 , 如 果 在 防火 墙 上 有 太 多 
这 样 的 漏洞 ， 防 护 作用 将 会 受到 严重 的 影响 。 通 常情 况 下 ， 开 放 端 口 时 应 遵循 以 下 原则 : 


于 只 有 当真 正 需 要 的 打开 某 个 端口 时 ， 才 能 将 该 端口 打开 ; 
里 决 不 为 未 识别 的 程序 打开 端口 ; 
一 旦 不 再 需要 端口 ， 立 即将 其 关闭 。 


1. 设置 端口 访问 策略 

1 打开 “Windows 防火 墙 设置 ”对 话 框 ， 切 换 到 “例外 ” 
选项 卡 。 单 击 “ 添 加 端口 ”按钮 ,打开 如 图 15.5 所 示 “ 添 
加 端口 ”对 话 框 。 在 “名 称 ” 文 本 框 中 ， 输 入 名 称 ， 例 如 
MSN; 在 “端口 号 ”文本 框 中 ， 输 入 要 添加 的 端口 号 ， 
例如 1863; 选中 “TCP” 单 选 按钮 。 


注意 如果 无 法 确定 要 使 用 哪个 端口 号 ， 或 者 无 

得 法 确定 选择 TCP 还 是 UDP 时 ， 可 通过 查 
看 要 为 其 添加 端口 的 程序 或 服务 的 文档 或 
网 站 即 可 。 


图 15.5 “添加 端口 ”对 话 框 


2 单 击 “ 更 改 范围 ”按钮 ， 显 示 如 图 15.6 所 示 “ 更 改 范围 ”对 话 框 ， 选 中 “任何 计算 机 (包括 Internet 


上 的 计算 机 ) ” 单 选 按钮 。 另 外 两 项 的 意义 分 别 是 : 
@“ 仅 我 的 网 络 ( 子 网 ) ”: 只 允许 从 本 地 子 网 进行 连接 ; 


里 “ 自 定义 列表 ”: 定义 自 定义 列 表 ， 输 入 以 逗号 隔 开 的 人 P 地 址 ， 子 网 可 同时 包括 I 地 


址 、 子 网 列表 。 


te Ar Ry 请 单 击 下 面 
i 请 十 入 以 到 号 分 也 89 IP 地址， 子 网 或 同志 括 IP 地 
个 任何 计算 机 各 括 Ixternet 上 的 计算 机 ) A) 
斑 仅 和 肖 R 纤 他 网 人 
个 自主 X5 周 中; 

IE 


示例 : 192 .168_114 201, 192. 166. 114. 201/255. 255. 255. 0, 
BEfe: £EEE:E311: £202: 1460: 5260; cAbl -fd 


CC] _ 驶 | 
图 15.6 “更 改 范围 ”对 话 杠 


Ry 
属 “Windows Server 2008 系统 安全 管理 实战 指南 


这 机 。 捐 ”| 高级 | 
a 
is 网 络 位 置 的 设置 。 航 守明 过 席 省 蚀 
03 单 击 “ 确 定 ” 按 钮 , 完成 端口 策略 的 创建 。 显示 如 图 15.7 Rl, WN 
所 示 。 


提示 “向 例外 列表 添加 端口 会 降低 计算 机 的 安 
S 琵 全 性 ， 这 是 因为 只 要 计算 机 在 运行 ， 该 全 er 
外 端口 都 是 打开 的 。 因 此 建议 用 户 只 有 在 。 |B i 


口 Yindws 远程 管理 


无 法 添加 例外 程序 时 ， 才 应 该 将 端口 添加 tit 


口 分 布 式 事务 协调 器 DTC) 


到 例外 列表 。 Sm ron | 由 四 | Wi 


厂 Winaovs 防火 墙 阻止 新 程序 时 通知 我 中 ) 


确定 取消 应 朋克 


图 15.7 新 创建 的 端口 策略 


2. 删除 端口 例外 


本 地 用 户 或 者 被 委派 了 适当 权限 的 用 户 帐户 ， 可 以 
删除 用 户 自 定义 的 “例外 ”项 目 ， 只 需 在 “程序 和 端口” 
列表 中 ， 选 中 欲 删 除 的 项 目 ， 单 击 “删除 ”按钮 即 可 。 
例如 删除 刚刚 创建 的 MSN 项 目 , 显示 如 图 15.8 所 示 “ 出 二 
除 端口 ”对 话 杠 ， 继 续 单 击 “ 是 ”按钮 ， 即 可 从 列表 中 
删除 。 图 15.8 “删除 端口 ”对 话 框 


© PU nr 


念 仍然 起 和 它 [9? 


15.1.3 ”允许 /限制 程序 访问 


为 了 提高 系统 的 安全 性 ， 默 认 情 况 下 Windows 防火 墙 阻止 所 有 与 计算 机 程序 建立 的 未 经 
请 求 的 连接 ， 导 致 用 户 许多 正常 网 络 应 用 无 法 实现 。 因 此 ， 需 要 对 这 些 程序 进行 设置 ,在 防火 
墙 中 为 这 些 程序 创建 例外 ， 应 用 程序 即 可 通过 防火 墙 访问 网 络 。 

1. 允许 例外 的 风险 


每 次 允许 例外 程序 通过 Windows 防火 墙 通信 时 ， 计 算 机 都 会 面临 被 攻击 的 危险 。 如 果 在 
计算 机 上 存在 很 多 例外 和 开放 的 端口 时 ,计算 机 很 容易 成 为 入 侵 者 的 牺牲 品 。 为 了 减少 由 于 例 
外 所 引起 的 风险 ， 一 般 添加 到 例外 中 的 程序 应 进行 如 下 操作 : 

于 只 有 在 真正 需要 时 才 允 许 例外 ; 

于 对 于 不 认识 的 程序 从 不 允许 例外 ; 

于 不 再 需要 例外 时 删除 例外 。 


2. 向 “例外 ”列表 中 添加 程序 
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要 允许 与 计算 机 程序 建立 未 经 请 求 的 连接 , 只 需 将 应 用 程序 添加 到 Windows 防火 墙 的 “ 例 
外 ”列表 中 即 可 。 


01 打开 “Windows 防火 墙 设置 ”对 话 框 ， 切 换 到 “例外 ” 选 
项 卡 。 单 击 “ 添 加 程序 ”按钮 ， 显 示 如 图 15.9 所 示 “ 添 加 
程序 ”对 话 框 。 在 “程序 ”列表 中 ， 选 择 要 允许 访问 网 络 
的 应 用 程序 即 可 。 
提示 单 击 “更 改 范围 ”按钮 ， 同 样 可 以 为 添加 的 
\ “例外 ”程序 设置 适当 的 作用 范围 ， 与 “多 

许 /限制 端口 访问 ”中 的 操作 完全 相同 ,此 处 
不 复 闭 述 。 


添加 程序 划 
i 惑 单 击 “ 浏 览 "查找 未 列 出 的 程序 ,然后 单 击 


一 mmo. 到 消 
0 2 单 击 “确定 ”按钮 ， 将 其 添加 到 “例外 ”选项 卡 的 “程序 站 a 
图 15.9 “添加 程序 ”对 话 框 


和 端口 ”列表 中 。 


3. 编辑 /删除 程序 例外 和 Internet 上 或 他 的 下 络 上 的 计算 


名 称 : Internet Explorer 
在 “例外 ”选项 卡 的 “程序 和 端口 ”列表 中 ， 选 。 ee 
中 希望 编辑 或 删除 的 应 用 程序 项 目 ， 单 击 “ 属 性 ” 按 二 
钮 ， 即 可 查看 其 相关 信息 。 例 如 ， 选 择 “Intemet - 
Explorer” 选 项 ， 单 击 “ 属 性 ”按钮 ， 显 示 如 图 15.10 A 
所 示 “ 编 辑 程序 ”对 话 框 。 单 击 “更 改 范围 ”按钮 ， 可 以 重新 编辑 当前 例外 程序 的 作用 范围。 


提示 ”如 果 选 中 应 用 程序 选项 后 ， 单 击 “删除 ”按钮 ， 则 直接 从 列表 中 删除 所 选 程序 。 与 
\ 琵 端口 例外 相同 ， 用 户 只 能 删除 自 定义 的 程序 项 目 。 


15.2 ”高 级 安全 Windows 防火 墙 基本 配置 


高 级 安全 Windows 防火 墙 是 Windows Server 2008 的 新 增 功能 之 一 , 与 标准 Windows 防火 
墙 相 比 ， 安 全 防护 能 力 更 强 ， 具 有 以 下 特点 : 


高 级 安全 Windows 防火 墙 是 双向 防火 墙 ， 其 不 仅 可 以 监视 、 设 置 甚 至 屏蔽 所 有 的 入 站 
连接 请 求 (默认 设置 为 禁止 )， 也 可 以 对 所 有 的 出 站 连接 请 求 进行 更 细致 的 设置 (默认 
设置 为 允许 ); 

下 高 级 安全 Windows 防火 墙 是 一 种 基于 规则 状态 防火 墙 ， 支持 IPv4 与 IPv6, 远 比 应 用 层 
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级 的 边界 防火 墙 更 为 安全 ; 


和 高 级 安全 Windows 防火 墙 结合 了 主机 防火 墙 和 IPSec， 而 在 Windows XP/2003 系统 中 ， 
Windows 防火 墙 与 IPSec 是 分 离 的 。 


15.2.1 高 级 安全 Windows 防火 墙 概述 


早期 的 Windows 系统 并 未 提供 防火 墙 功能 ， 从 Windows XP SP1 系统 才 开 始 提供 , 直到 出 
现 Windows Vista/2008 之 前 ， 防 护 功能 都 比较 单一 ， 只 可 以 阻止 未 经 请 求 的 连接 。 一 些 比较 复 
杂 的 网 络 攻击 ， 往 往 需要 通过 监视 通信 或 者 伪装 通信 来 实现 ， 因 此 需要 更 加 可 靠 的 安全 防护 。 
Windows Server 2008 系统 中 的 高 级 安全 Windows 防火 墙 , 集成 了 IPSec 管理 ,IPSec 通过 双方 
的 认证 和 加 密 来 降低 这 种 攻击 的 可 能 性 。 

1. 使 用 Windows 防火 墙 筛选 通信 


管理 员 可 以 借助 Windows 防火 墙 ， 控 制 哪些 服务 可 以 连接 网 络 ， 哪 些 网 络 可 以 连接 特定 
的 服务 。 默 认 情 况 下 ，Windows 防火 墙 允 许 所 有 发 出 通信 通过 ， 但 是 管理 员 也 可 以 限制 应 用 
程序 发 送 通 信 。 管 理 员 可 以 创建 如 下 形式 的 防火 墙 规则 : 
在 DNS 服务 器 上 ， 只 允许 内 部 网 络 的 请 求 消息 ; 
@ 在 E-mail 服务 器 上 ， 允 许 所 有 计算 机 通过 TCP 端口 25 连接 SMTP 服务 器 ， 同 时 只 允 
许 内 网 计算 机 使 用 TCP 端口 110 连接 POP 服务 器 ; 
a 除了 Windows 更 新 之 外 阻止 所 有 的 应 用 程序 和 服务 向 外 连接 网 络 ; 
里 允许 内 网 计算 机 对 服务 器 使 用 “ping” 命 令 ， 但 是 阻止 响应 来 自 Internet 的 “ping” 
请 求 。 


2. 使 用 IPSec 保护 通信 


IPSec 是 网 络 层 提供 认证 和 加 密 安 全 标准 ， 是 TCP/IP 协议 的 一 部 分 。IPSec 可 以 有 效 防 护 
探测 攻击 。 例如 网 络 中 的 共享 文件 没有 提供 任何 加 密 措施 , 攻击 者 通过 访问 物理 网 络 就 可 以 读 
取 到 传输 中 的 文件 内 容 。 通过 IPSec 可 以 对 网 络 通信 进行 加 密 ， 从 而 使 攻击 者 基本 不 可 能 看 到 
传输 的 文件 内 容 。 


(1) IPSec 的 身份 验证 功能 


除了 加 密 功能 外 ,IPSec 还 提供 认证 功能 。 通 yap Pen 
过 认证 功能 ， 服 务 器 上 的 IPSec 在 客户 端 连 接 之 为 服务 器 (» 3 
前 就 可 以 确定 该 客户 端 是 否 是 域 成 员 或 者 拥有 一 < 
个 有 效 地 计算 机 证 书 。 同 样 ， 客 户 端 计算 机 也 可 
以 确定 正确 的 服务 器 。IPSec 认证 可 以 有 效 阻止 常 
见 的 “中 间 人 ”攻击 ， 如 图 15.11 所 示 。 


客户 并 攻 活 者 服务 器 


图 15.11 IPSec 阻止“ 中间 人 ”攻击 
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总 之 ，IPSec 可 以 阻止 如 下 行为 

和 Man-in-the-middle 攻击 ; 

和 探测 攻击 ; 

@ 重 放 攻击 ; 

至 未 认证 的 网 络 应 用 程序 的 访问 ; 

里 只 使 用 客户 端 瑟 地 址 进行 认证 的 网 络 应 用 程序 的 访问 。 


因为 IPSec 在 网 络 层 操作 ， 所 以 对 于 大 多 数 应 用 程序 来 说 它 是 透明 的 ; 但 是 对 于 有 些 网 络 
设备 来 说 IPSec 是 不 兼容 的 。 任 何 一 个 防火 墙 或 检查 通信 的 其 他 设备 都 是 不 允许 IPSec 加 密 传 
输 的 ， 所 以 用 户 需 要 经 常 配置 这 些 设备 来 允许 IPSec 通信 。 


(2 ) IPSec 的 工作 模式 


IPSec 有 两 种 模式 ， 传输 模式 和 通道 模式 。 传 输 模式 用 来 保护 主机 到 主机 的 通信 。 在 传输 
模式 中 ，IPSec 通信 在 第 4 层 传输 层 (OSI 参考 模型 )， 所 以 IPSec 可 以 加 密 UDP/TCP 协议 包 
头 和 原始 数据 ， 但 是 人 P 包头 确 不 能 被 保护 。 通 道 模式 用 来 保护 主机 到 网 络 和 网 络 到 网 络 的 通 
信 ， 如 VPN。IPSec 将 数据 压缩 到 包头 和 包 尾 。 按 照 IPSec 协议 ， 发 送出 去 的 数据 包 的 原始 内 
容 将 会 被 加 密 。IPSec 使 用 压缩 安全 负载 (ESP) 协议 来 提供 认证 和 加 密 的 。 如 图 15.12 所 示 
IPSec 的 IPv4 传输 模式 的 数据 包 结 构 。 
原始 | IPSece ESP| UDP/TCP 


TP 包头 | 包头 | 协议 包头 | 原始 数据 
| 


ESP 尾 | ESP 身 份 
EE 冷 证 尾 


身份 验证 


加 密 


图 15.12 IPSec 数据 包 结构 
注意 
鸠 IPSec 也 是 IPv6 的 一 部 分 。 


应 用 IPSec 加 密 之 前 需要 注意 的 是 , 并 不 是 所 有 的 计算 机 都 支持 IPSec。 IPSec 支持 多 种 认 
证 和 加 密 标准 ， 两 台 支 持 IPSec 的 主机 可 能 支持 的 是 不 同类 型 的 标准 。 因 此 ,在 建立 IPSec 连 
接 之 前 ， 必 须 确定 这 些 主机 是 否 都 支持 IPSec 和 一 系列 可 接受 的 认证 和 加 密 标准 。 

IKE (Internet 密 钥 交换 协议 ) 是 Internet 安全 关联 和 密 钥 管理 协议 (ISAKMP) 和 Oakley 
密 钥 交 换 协议 的 组 合 ， 主 要 用 于 管理 在 IPSec 连接 中 使 用 的 加 密 密 钥 算法 。Windows Vista 和 
Windows Server 2008 系统 支持 的 IKE 协商 模式 如 下 。 

m 主 模式 : IKE 协商 认证 和 加 密 协 议 ， 然 后 认证 计算 机 ; 

用户 模式 : 如 果 用 户 认证 是 为 IPSec 配置 的 ， 那 么 IKE 认证 用 户 ; 

m 快速 模式 : IKE 保护 个 人 通信 传输 ,并且 经 常 改变 安全 密 钥 , 但 是 在 该 模式 下 无 法 进行 

认证 。 
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(3 ) 认证 头 和 ESP 

IPSec 使 用 如 下 两 种 协议 。 

ma 认证 头 (AH): AH 对 整个 人 P 数据 包 进 行 认证 ， 但 不 进行 数据 加 密 ， 适 用 于 某 些 要 求 
严格 防止 也 欺骗 的 场合 ， 所 以 在 NAT 模式 下 无 法 使 用 ; 

mm ESP: 同时 提供 对 数据 加 密 和 认证 , ESP 认证 不 对 外 部 人 P 头 进行 认证 , 所 以 可 以 在 NAT 
模式 下 使 用 。 


默认 情况 下 ,Windows 系统 将 自动 尝试 使 用 ESP 协议 , 当 两 台 主 机 都 不 支持 ESP 协议 时 ， 
才 尝 试 使 用 AH 协议 。 由 于 ESP 协议 广泛 的 支持 性 ，AH 协议 很 少 用 到 。 


3. 相关 概念 


高 级 安全 Windows 防火 墙 使 用 两 组 规则 ， 配 置 如 何 响应 传 入 和 传 出 流量 ， 确 定 允许 或 阻 
止 流量 类 型 ,连接 安全 规则 确定 如 何 保护 计算 机 与 计算 机 间 的 通讯 ,通过 使 用 防火 墙 配置 文件 ， 
可 以 应 用 这 些 规则 以 及 其 他 设置 ， 监 视 防火 墙 活动 和 规则 。 


(1 ) 防火 墙 规则 


配置 防火 墙 规则 以 确定 阻止 还 是 允许 流量 通过 。 传 入 数据 包 到 达 计算 机 时 ， 高 级 安全 
Windows 防火 墙 会 检查 该 数据 包 ， 确 定 其 是 否 符合 防火 墙 规则 中 指定 的 标准 。 如 果 数据 包 与 
规则 中 的 标准 匹配 ， 高 级 安全 Windows 防火 墙 执行 规则 中 指定 的 操作 ， 即 阻止 连接 或 允许 连 
接 。 如 果 数据 包 与 规则 中 的 标准 不 匹配 ， 高 级 安全 Windows 防火 墙 将 丢弃 该 数据 包 ， 并 在 防 
火 墙 日 志文 件 中 创建 条 目 。 


(2 ) 连接 安全 规则 


连接 安全 规则 可 以 用 来 配置 本 地 计算 机 与 计算 机 之 间 特定 的 连接 的 IPSec 设置 。 高 级 安全 
Windows 防火 墙 首先 使 用 该 规则 评估 网 络 通信 ， 然 后 根据 该 规则 中 所 建立 的 标准 ， 阻 止 或 允 
许 消息 。 默 认 状态 下 ， 高 级 安全 Windows 防火 墙 将 阻止 通信 。 如 果 所 配置 的 设置 要 求 连接 安 
全 (双向 )， 而 两 台 计 算 机 无 法 互相 进行 身份 验证 ， 同 样 会 阻止 连接 。 

(3 ) 防火 墙 配 置 文件 

防火 墙 配置 文件 是 一 种 分 组 设置 的 方法 , 如 防火 墙 规则 和 连接 安全 规则 , 根据 计算 机 连接 
到 的 位 置 将 其 应 用 于 该 计算 机 。 高 级 安全 Windows 防火 墙 中 有 3 个 配置 文件 ， 分 别 是 域 、 专 
用 网 络 〈 例 如 家 庭 网 络 ) 和 公用 网 络 ， 用 户 每 次 只 能 从 中 选择 一 个 使 用 。 


(4) 监视 
监视 节点 显示 有 关 当 前 所 连接 的 计算 机 (本 地 计算 机 或 远程 计算 机 ) 的 信息 。 如 果 使 用 管 
理 单元 来 管理 组 策略 对 象 而 不 是 本 地 计算 机 ， 不 会 出 现 该 节点 。 
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15.2.2 配置 防火 墙 规则 


以 管理 员 帐 户 登录 Windows Server 2008 系统 后 ， 选 择 “ 开 始 ” 一 “管理 工具 ”一 “高 级 
安全 Windows 防火 墙 ”命令 ， 打 开 如 图 15.13 所 示 “ 高 级 安全 Windows 防火 墙 ”窗口 ， 包 括 
入 站 规则 、 出 站 规则 和 连接 安全 规则 3 种 。 如 果 安 装 Active Directory 服务 ， 还 会 增加 13 条 相 
应 的 安全 规则 。 


里 入 站 规则 。 入 站 规则 明确 允许 或 者 明确 阻止 与 规则 条 件 匹配 的 通信 。 例 如 ， 可 以 将 规则 
配置 为 明确 允许 受 IPSec 保护 的 远程 桌面 通信 通过 防火 墙 ， 但 阻止 不 受 IPSec 保护 的 远 
程 桌面 通信 。 首 次 安装 Windows 时 ， 将 阻止 入 站 通信 ， 若 要 允许 通信 ， 必 须 创建 一 个 
入 站 规则 。 在 没有 适用 的 入 站 规则 的 情况 下 ， 也 可 以 对 具有 高 级 安全 性 的 Windows 防 
火 墙 所 执行 的 操作 进行 配置 ; 

里 出 站 规则 。 出 站 规则 明确 允许 或 者 明确 拒绝 来 自 与 规则 条 件 匹配 的 计算 机 的 通信 。 例 如 ， 
可 以 将 规则 配置 为 明确 阻止 出 站 通信 通过 防火 墙 到 达 某 一 台 计算 机 ,但 允许 同样 的 通信 
到 达 其 他 计算 机 。 默 认 情况 下 允许 出 站 通信 ， 因 此 必须 创建 出 站 规则 来 阻止 通信 。 


高 名 安全 Yiatows 防火 济 


加 中 | 中 日 可 
和 本 地 计算 机 上 的 高 级 安全 Wintors 防 炎 坟 [一 一 一 
本 地 计算 机 上 
Bsn Eg 高 和 安全 fintms 防 炙 对 为 Windors 计算 机 提 从 将 雪 全。 Fr 
站 St 
让 ei | 
域 配 置 文件 要 
鲍 indors 防伪 让 用 ， EE 
有 Lt 与 NIT ED 入 让 壬 搞 a 
tf 与 DT [Teri 沾 活 接 < 国 风 s 
专用 配置 文件 是 活动 的 目 wh 


赚 tindors 防 人 境 忆 关闭 。 


公用 配置 文件 
网 indors 所 人 二 已 局 > 


图 15.13 “高 级 安全 Windows 防火 墙 ”窗口 
1. 禁用 或 启用 规则 
管理 员 可 以 通过 两 种 方式 启用 或 禁用 防火 墙 规则 :Windows 防火 墙 控制 台 和 netsh 命令 。 
第 一 种 方式 : 
在 高 级 安全 Windows 防火 墙 控制 台中 ， 选 择 “入 站 规则 ”或 “出 站 规则 ”选项 ， 在 右 侧 


窗口 中 ， 选 择 并 右 击 相应 的 规则 ， 选 择 快捷 菜单 的 “禁用 规则 ”或 者 “启用 规则 ”选项 ， 即 可 
更 改 其 运行 状态 。 
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第 二 种 方式 : 
使 用 


“netsh” 命 令 启用 或 禁用 让 


一 规则 以 及 规则 组 ， 用 法 如 下 : 


里 启用 /禁用 单个 规则 : netsh advfirewall firewall set rule name="Rule" new enable=yes | no; 
里 启用 /禁用 规则 组 : netsh advfirewall firewall set rule name=" RuleGroup" new enable=yes | no 


例如 ， 使 用 如 下 命令 可 以 启用 “BITS 对 等 缓存 (RPC)” 规 则 (默认 情况 是 禁用 的 ): 


netsh advfirewall firewall set rule name="BITS Peercaching (RPC) " new enable=yes; 
使 用 如 下 命令 可 启用 “BITS 对 等 缓存 ”规则 组 的 (默认 情况 是 禁用 的 ): 


netsh advfirewall firewall set rule group="BITS Peercaching" new enable=yes。 


2. 创建 防火 墙 规则 


创建 防火 墙 规则 ， 其 目的 是 允许 此 计算 机 向 程序 、 系 统 服务 、 计 算 机 或 用 户 发 送 通信 , 或 
者 从 程序 、 系 统 服务 、 计 算 机 或 用 户 接收 通信 。 通 过 创建 防火 墙 规则 ， 可 为 匹配 该 规则 标准 的 
所 有 连接 执行 以 下 三 个 操作 之 一 : 允许 连接 、 只 允许 通过 Internet 协议 安全 (IPSec) 保护 的 连 
接 或 者 明确 阻止 连接 。 可 以 为 入 站 通信 或 出 站 通信 创建 规则 , 可 以 指定 要 应 用 规则 的 网 络 适 配 
器 类 型 : 局 域 网 、 无 线 、 远 程 访 问 ， 也 可 以 将 规则 配置 为 在 使 用 特定 配置 文件 时 应 用 ,或 者 在 


使 用 任何 配置 文件 时 应 用 。 


01 在 高 级 安全 Windows 防火 墙 控制 全 
在 “规则 类 型 ”对 话 框 ， 选 中 “端口 ” 单 选 按钮 。 单 击 “ 下 一 步 ”按钮 ， 显 示 “ 协 议和 端口 ”对 话 框 
选中 “TCP” 和 “特定 本 地 端口 ” 单 选 按钮 ， 输 入 服务 使 用 的 端口 号 ， 如 果 在 配置 服务 器 时 指定 了 非 默 
认 端 口 ， 在 这 里 也 应 指定 相应 端口 ， 例 如 80， 如 图 15.14 所 示 。 


Ph， 右 击 “ 入 站 规则 ”选项 ， 选 择 快捷 菜单 中 的 “新 规则 ”选项 ， 


规则 类 型 协议 和 篇 口 
ed mt 
2 $e 
< 二 驮 号 NN . Ma 
ee ' i 
i an- 由 ed 
a et 让 项 
* et 人 7 式 IF 江口 直 摘 的 贞 ， CE 
个 定义 但 - 
FF 可 
| Winders 计 的 本 渤 产 HHRRI 
"8 = 
TE mie 
二 


=) EE 。 员 有 


0 2 依次 单 击 “ 下 一 步 ” 按 钮 ,设置 操作 类 型 和 配置 文件 ， 如 图 
许 连 接 ” 单 选 按 钮 。 在 “配置 文件 ”对 话 框 中 ， 设 置 该 规则 的 应 用 范围 


作 类 型 的 含义 如 下 : 
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图 15.14 设置 规则 类 型 、 协 议和 端口 


15.15 所 示 。 在 “ 


， 选 9 


操作 ”对 话 框 中 ， 选中 “多 
“公用 ” 复 选 框 。 其 他 操 
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只 允许 安全 连接 : 高 级 防火 墙 只 允许 特定 的 安全 用 户 访问 服务 器 ， 即 使 用 IPSec 身份 验 
证 的 用 户 ; 


而 江青 rap 
要 天性， 和 
"fem eno) 
i 
轩 . 
TN zetae 


‘ESCEEm7] en = | 


图 15.15 设置 操作 类 型 和 配置 文件 


03 单 击 “下 一 步 ”按钮 ， 显 示 如 图 15.16 所 示 “ 名 称 ” 对 话 框 。 在 “名 称 ”文本 框 中 输入 该 入 站 规则 的 显 
示 名 称 ， 便 于 识别 。 在 “描述 ”文本 框 中 ， 可 以 输入 相关 的 描述 信息 。 

04 单 击 “ 完 成 ”按钮 ， 即 可 保存 已 创建 的 入 站 规则 。FTP 服务 器 提供 下 载 和 上 传 服务 时 ， 需 要 使 用 不 同 的 
端口 ， 因 此 还 需要 对 用 于 发 布 上 传 服务 的 端口 创建 入 站 规则 。 


所 示 。 


名 附 过 5 E77 
hob A Ie 
ed [et 
ne Ene 
ion 要 
pr ee 
EA [me 
本 抽 四 击 中 
El 
各 1 T 
sm] || mysnp ei EEE 
图 15.16 “名 称 ” 对 话 框 图 15.17 成 功 创建 的 入 站 规则 


3. 编辑 防火 墙 规则 

在 Windows Server 2008 系统 中 ，ICMP 协议 的 防火 墙 规则 已 被 默认 集成 在 高 级 安全 
Windows 防火 墙 中 的 出 站 /入 站 规则 中 。 用 户 可 以 通过 修改 配置 ， 达 到 禁止 响应 ping 或 者 禁止 
ping 出 的 目的 ， 以 确保 服务 器 安全 。 


383 


ay 
局 Windows Server 2008 系统 安全 管理 实战 指南 


01 在 高 级 安全 Windows 防火 墙 控制 合 中， 选择 “QQ 选择 “作用 域 ” 选项 卡 ,在 本 地 IP 地 址 下 选中 
“入 站 规则 ”或 “出 站 规则 ”选项 ， 右 击 需 要 配置 “下 列 IP 地 址 ” 单 选 按钮 ， 单 击 “ 添 加 ”按钮 ， 显 
的 规则 (以 “网 络 发 现 (LLMNR-UDP-In) ”策略 为 ” 示 “IP 地 址 ”对 话 框 ， 打 开 如 图 15.19 所 示 “IP 地 
例 ), 在 快捷 菜单 中 选择 “属性 ”命令 ,打开 如 图 15.18 ” 址 ”对 话 框 和 , 添加 指定 的 本 地 或 远程 IP 地 址 即 可 。 
eb 


在 “常规 ”选项 卡 中 ， 选 中 “只 人 允许 安全 连接 ” 单 
ie 可 启用 IPSec 保护 。 
网 络 发 现 (LUNR-WDP-In) 属性 EE] 
常规 。 | 程序 和 服务 | 用 户 和 计算 机 | 协议 向 | 作用 域 | 高级 | 
[TS > 
国 ”这 是 一 个 定义 扒 风 ， 其 革 些 属性 无 法 补 修改。 撕 定 要 Pa IP 地 址 - 
他 此 电 地 址 或 子 网 入: 
[EE 
DI les 1.0f2¢ 
‘2002 .9d3b; 1431:4:208:74f£: £039:6c43 
个 此 地 址 范围 
FE 
mm 
了 高 指定 IP 其 hi 洋 如 信息 
Cw |]_w | 
图 15.18 “网 络 发 现 (LLMNR-UDP-In) 属性 ”对 话 框 图 15.19 “IP 地址” 对话 框 
03 单 击 “确定 ”按钮 ， 返 回 到 “网 络 -路 由 器 请 求 EEEEEEEIT EE 
» 寺 « ~ » 选择 此 对 象 类 型 5); 
属性 ”对 活 框 。 切 换 到 “用 户 和 计算 机 ”选项 卡 ，。 5 
选中 “只 允许 来 自 下 列 计算 机 的 连接 ”或 “只 允许 。 【号 


来 自 下 列 用 户 的 连接 ” 复 选 框 ， 单 击 “ 添 加 ”按钮 ， | 写生 RE 直 中 


显示 如 图 15.20 所 示 “ 选 择 内 置 安全 主体 ”对 话 框 ， 


添加 计算 机 或 用 户 。 a 


图 15.20 “选择 内 置 安全 主体 ”对 话 框 


04 单 击 “高 级 ”按钮 ， 切 换 到 如 图 15.21 所 示 “ 高 级 ”选项 卡 ， 选 中 “下 列 配 置 文件 ” 单 选 按钮 选择 
需要 应 用 规则 的 配置 文件 : 
四 域 : 当 计算 机 连接 到 其 域 帐户 所 在 的 网 络 时 应 用 ; 
专用 : 当 计 算 机 连接 到 不 包括 其 域 帐户 的 网 络 时 应 用 , 例如 家 庭 网 络 。 专 用 配置 文件 设 
置 应 该 比 域 配置 文件 设置 更 为 严格 ; 
mm 公用: 当 计算 机 通过 公用 网 络 连 接 到 域 时 应 用 。 由 于 计算 机 所 连接 到 的 公用 网 络 通常 无 
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法 严格 控制 安全 ， 因 此 公用 配置 文件 设置 应 该 最 为 严格 。 


党 规 “| 程序 和 服务 | 用 户 和 计算 机 | 协议 和 应 口 | 作用 域 高 加 | 


一 并 证 应 用 此 规 风 接 口 关 型 。 自 定义 


i 一 一 一 一 | 
~ MR 


厂 允许 边 乡 痪 历 吕 ) 


15.21 “高 级 ”选项 卡 
0 5 修改 规则 完成 后 ， 单 击 “ 确 定 ”按钮 应 用 并 保存 配置 。 


15.2.3 ”配置 IPSec 连接 安全 规则 


IPSec 即 Intemet 协议 安全 ， 是 网 络 安全 技术 的 发 展 趋势 ， 其 主要 功能 是 保护 全 数据 包 内 
容 和 通过 数据 包 筛选 防御 网 络 攻击 。 默 认 情 况 下 ,Windows Server 2008 拥 有 一 个 单一 本 地 IPSec 
策略 ， 该 策略 尝试 对 所 有 的 通信 使 用 IPSec 认证 和 加 密 ， 当 IPSec 协商 失败 后 将 会 退 到 不 受 保 
护 的 通信 。 用 户 必 须 为 服务 器 或 域 隔离 创建 额外 的 规则 来 配置 计算 机 。 


1. IPSec 连接 安全 规则 概述 


IPSec 连接 安全 规则 允许 用 户 为 满足 指定 标准 的 连接 请 求 IPSec, 这 些 标准 类 似 于 Windows 
防火 墙 筛选 器 。 例 如 ， 用 户 可 以 为 如 下 情况 设置 IPSec 安全 规则 : 

@ 拒绝 来 自 指定 卫 地 址 的 所 有 通信 ; 

四 拒绝 所 有 来 自 默认 网 关 的 ICMP 通信 ; 

四 拒绝 所 有 来 自 内 网 的 发 往 指定 端口 的 通信 ; 

四 限制 除了 特定 服务 器 的 所 有 出 站 连接 。 

每 个 计算 机 只 能 拥有 一 个 IPSec 策略 。 如 果 多 个 组 策略 应 用 于 一 台 计 算 机 , 每 个 组 策略 都 
有 不 同 的 IPSec 策略 ， 只 有 最 高 级 的 IPSec 策略 会 起 作用 。 

(1) IPSec 规则 类 型 

使 用 默认 设置 创建 的 IPSec 规则 是 阻止 用 户 通信 的 ， 即 必需 通过 相应 身份 验证 才 可 以 。 因 
此 , 应 用 之 前 必须 确认 要 求 认证 连接 的 服务 器 和 计算 机 , 避免 阻止 合法 用 户 的 连接 。 如 果 环 境 
人 允许， 建议 部 署 IPSec 规则 之 前 ， 在 实验 环境 中 进行 测试 。IPSec 连接 安全 规则 的 类 型 如 下 。 

管理 员 可 以 创建 如 下 几 种 类 型 的 安全 规则 。 
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m 隔离 : 隔离 规则 可 根据 用 户 定义 的 身份 验证 标准 对 连接 进行 限制 。 例如 可 以 使 用 此 规则 
类 型 ， 隔 离 域 中 的 计算 机 和 域外 的 计算 机 ; 

下 身份 验证 免除 : 可 以 使 用 此 规则 类 型 ， 使 特定 的 计算 机 或 者 指定 范围 内 的 也 地 址 〈 计 
算 机 )， 免 于 对 自身 进行 身份 验证 ， 而 不 考虑 其 他 连接 安全 规则 ; 

四 服务 器 到 服务 器 : 使 用 此 规则 类 型 对 两 台 特 定 计算 机 之 间 、 两 个 计算 机 组 之 间 、 两 个 子 
网 之 间 , 或 者 特定 计算 机 和 计算 机 组 或 子 网 之 间 的 通信 ,进行 身份 验证 。 可 以 使 用 此 规 
则 对 数据 库 服务 器 和 业务 层 计算 机 之 间 ， 或 者 基础 结构 计算 机 和 其 他 服务 器 之 间 的 流 
量 ， 进 行 身份 验证 ; 

四 隧道 : 如 果 在 不 知 IPSec 的 网 络 中 ， 为 支持 IPSec 的 客户 端 和 服务 器 创建 IPSec 连接 安 
全 规则 ， 则 必须 使 用 隧道 模式 。 这 个 类 型 的 规则 指定 了 使 用 隧道 的 主机 和 目的 主机 ， 以 
及 本 地 和 远 端的 网 关 。 例 如 ，VPN 或 IPSec L2TP 隧道 等 ; 

mm 自 定义 : 使 用 此 规则 类 型 创建 需要 特殊 设置 的 规则 。 


注意 ” 若 要 创建 身份 验证 免除 规则 ， 只 需要 指定 计算 机 或 者 一 组 或 一 个 范围 内 的 JP 地址 
得 (计算 机 ) 并 给 出 规则 的 名 称 和 说 明 (可 选 ) 即 可 。 即 使 对 计算 机 免除 身份 验证 ， 
防火 墙 仍 可 能 阻止 这 些 计算 机 ， 除 非 防 火 墙 规则 已 明确 允许 其 连接 。 


通常 情况 下 , 隔离 规则 用 于 应 用 所 有 网 络 连接 的 策略 , 服务 器 到 服务 器 规则 用 于 只 应 用 在 
特定 网 络 的 策略 ， 免 除 认证 规则 用 于 不 支持 IPSec 的 计算 机 。 
(2 ) IPSec 认证 方式 
高 级 安全 Windows 防火 墙 可 以 提供 如 下 几 种 身份 验证 方法 。 


@ 默认 值 :选择 此 选项 可 使 用 “具有 高 级 安全 性 的 Windows 防火 墙 属性 ”对 话 框 的 “IPSec 
设置 ”选项 卡 上 所 配置 的 身份 验证 方法 。 默 认 值 中 的 具体 参数 设置 如 表 15.1 所 示 ; 


表 15.1 Windows Server 2008 中 默认 IPSec 设置 


设置 值 
认证 方式 计算 机 (Kerbero V5) 
密 钥 交换 算法 Diffie-Hellman Group 2 
数据 完整 性 检查 方法 SHAl 
IPSec 认证 协议 ESP 
加 密 密 钥 周期 60 分 钟 或 100 000 KB 
加 密 方法 AES-128 ( 主 ) 和 3-DES ( 备 ) 


@ 计算 机 和 用 户 〈Kerberos V5): 这 种 方法 使 用 计算 机 和 用 户 身份 验证 ， 只 允许 认证 域 用 
户 的 计算 机 的 连接 。 首 先进 行 计算 机 认证 ， 然 后 使 用 Kerberos V5 进行 用 户 认证 来 添加 
一 层 额 外 保护 ; 

m 计算 机 (Kerberos V5): 这 种 方法 请 求 或 要 求 计算 机 使 用 Kerberos V5 身份 验证 协议 进 
行 身份 验证 , 即 只 允许 域 成 员 的 计算 机 的 连接 。 为 了 IPSec 使 用 Kerberos 认证 通过 受信 
任 区 域 ， 必 须 使 用 全 资格 域名 (FQDN) 来 配置 信任 区 域 。 另 外 ， 还 需要 配置 IPSec 客 
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户 端 策 略 ， 使 其 能 够 与 任 一 域 控制 器 进行 通信 ， 这 样 IPSec 就 可 以 从 域 控 制 器 获取 


Kerberos 通行 证 ; 


用 户 (Kerberos V5): 这 种 方法 请 求 或 要 求 用 户 使 用 Kerberos V5 身份 验证 协议 进行 身 


份 验证 ; 


里 计算 机 证 书 : 这 种 方法 请 求 或 要 求 使 用 有 效 的 计算 机 证 书 进行 身份 验证 。 要 使 用 这 种 方 
法 ,必须 至 少 具有 一 个 证 书 颁发 机 构 (CA)。 在 使 用 证 书 认证 的 计算 机 之 前 ,必须 保证 
所 有 目标 计算 机 都 有 正确 的 CA 证 书 和 相应 的 通行 证 书 。 此 外 ,为 了 保证 证 书 认证 能 预 
期 工作 ， 还 需要 在 配置 IPSec 策略 之 前 测试 PKI 基础 设备 ; 

里 高 级 : 允许 用 户 配 置 多 种 用 户 或 计算 机 认证 方式 , 并 且 指 定 相应 的 优先 级 。 用 户 也 可 以 
为 计算 机 认证 使 用 预 共享 密 钥 , 即 为 每 个 计算 机 配置 一 个 密 钥 。 因 为 预 共享 密 钥 在 生产 
环境 中 很 难 改变 ,所 以 一 般 应 用 于 试验 环境 ， 当 任何 一 个 计算 机 受到 安全 威胁 时 ,就 需 


要 改变 密 铀 。 


注意 “Kerberos V5 身份 验证 方法 仅 适用 于 Windows 域 环境 ， 即 只 有 计算 机 或 用 户 帐户 是 


域 成 员 时 ， 才 可 以 使 用 该 验证 协议 。 


用 户 可 以 根据 需要 混合 使 用 认证 方式 。 例 如 配置 公 网 Web 服务 器 ， 对 于 内 网 用 户 可 以 使 
用 Kerberos 认证 ， 对 于 外 网 用 户 可 以 使 用 公用 密 钥 证 书 进行 认证 。 在 配置 完 IPSec 之 后 , 需要 
比较 远程 主机 的 瑟 地 址 和 IPSec 策略 ， 然 后 决定 使 用 哪 种 认证 方式 。 

在 使 用 IPSec 之 后 ， 客 户 端 就 可 以 创建 一 条 通 向 服务 器 的 网 络 连接 了 , 但 是 应 用 程序 可 能 
也 需要 认证 。 例 如 某 个 认证 用 户 连接 到 一 个 需要 认证 的 文件 服务 器 上 , 当 客 户 端 尝试 连接 共享 
文件 夹 时 ,可 能 仍然 需要 认证 。 如 图 15.22 所 示 是 人 PSec 规则 网 络 通信 中 的 位 置 和 作用 示意 图 。 


基于 应 用 程序 的 身份 认证 


基于 端口 或 TP 地 址 的 防火 墙 过 滤 


验证 客户 端 身份 的 有 效 性 


外 检查 客户 端 系统 的 健康 性 


服务 器 
应 用 程序 
Windows 防 
火 墙 
IPSec 规 则 
网 络 NAP 
客户 端 


图 15.22 IPSec 是 多 层 网 络 安全 的 一 部 分 


(3 ) 服务 器 和 域 隔离 
“隔离 ”最 初 只 是 一 种 网 络 结构 技术 ,即将 计算 机 置 于 单独 的 物理 网 络 中 ,使 外 网 无 法 访 
问 ， 从 而 阻止 了 未 经 认证 的 用 户 访问 网 络 中 的 计算 机 。IPSec 认证 能 够 提供 高 可 靠 性 的 逻辑 隔 
离 ， 该 方式 允许 客户 端 连 接 各 种 网 络 。 服 务 器 和 域 隔离 只 允许 认证 用 户 建 立 网 络 连 接 。 认 证 发 


生 在 网 络 层 ， 从 而 有 效 地 保护 了 网 络 通信 。 另 外 ，IPSec 还 会 加 密 受 保护 的 通信 ， 防 止 攻击 者 
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= 域 隔离 :只 有 域 成 员 才 能 建立 网 络 庄 接 ; 

服务 器 隔离 : 指定 服务 器 只 接受 来 自 受信 储 域 成 员 或 特定 组 的 域 成 员 的 网 络 连接 。 服 务 
器 隔离 还 可 以 为 那些 不 是 域 成 员 的 计算 机 提供 连接 , 但 是 必须 要 有 受信 任 CA 颁发 的 计 
算 机 证 书 。 

服务 器 和 域 隔离 可 以 有 效 降低 如 下 风险 : 

= 连接 不 受 保护 的 无 线 网 络 和 访问 不 要 求 应 用 层 认证 的 服务 器 ; 

= 允许 任何 用 户 〈 包 括 物理 连接 网 络 ) 访问 的 服务 器 ; 

= 使 用 未 认证 计算 机 的 认证 用 户 。 

服务 器 和 域 隔离 只 是 安全 性 中 的 一 层 ， 不 能 防止 如 下 危险 ; 

于 认证 用 户 使 用 了 误 用 访问 的 认证 计算 机 ; 

访问 认证 计算 机 的 攻击 者 ; 

攻击 认证 计算 机 和 其 他 网 络 计算 机 的 并 由 等 病毒; 

攻击 者 访问 不 受 IPSec 保护 的 服务 器 ; 

满足 IPSec 免除 的 未 认证 连接 。 


(4) IPSec 免除 


在 Windows Server 2008 中 默认 情况 下 不 要 求 IPSec 认证 ， 用 户 只 有 只 有 需要 IPSec 通信 
时 才 会 需要 免除 。 如 果 用 户 需 要 使 用 IPSec 认证 ， 需 要 为 不 支持 IPSec 认证 的 连接 创建 IPSec 
免除 。 通 常情 况 下 ， 管 理 员 需 要 为 如 下 用 户 创建 IPSec 免除 : 

m 最 新 配置 的 计算 机 ， 还 没有 对 IPSec 进行 配置 ; 

m 操作 系统 不 支持 IPSec; 

@ Gutst 帐户 。 


应 尽量 减 小 免除 的 范围 , 通常 只 对 不 支持 IPSec 认证 的 连接 批准 免除 。 例 如 管理 员 可 以 在 
来 宾 无 线 接 入 上 为 某 主 机 添加 免除 ， 使 其 能 够 来 连接 代理 服务 器 和 访问 Intemet。 很 多 基础 服 
务 器 都 需要 使 用 IPSec 免除 : 
mm DHCP 服务 器 : DHCP 服务 器 需要 通过 UDP 端口 68 来 接收 DHCP 协商 通信 ， 但 是 不 
需要 IPSec; 
DNS 服务 器 : 为 允许 客户 端 查找 域 控制 器 和 其 他 网 络 资源 ， DNS 服务 器 必须 允许 DNS 
请 求 不 使 用 IPSec 通过 UDP 端口 53; 
@ Windows Internet 名 称 服务 (WINS) 服务 器 : 如 果 客 户 端 计算 机 需要 WINS 服务 器 ， 
则 需要 为 WINS 请 求 所 使 用 的 UDP 端口 137 创建 一 个 免除 ; 
m 域 控 制 器 : 域 控制 器 必须 能 够 接受 几 种 不 受 IPSec 保护 的 不 同 的 通信 协议 的 连接 。 


每 个 创建 的 免除 都 是 一 个 安全 风险 , 必须 仔细 评估 每 个 免除 ,然后 采取 措施 降低 安全 风险 。 
考虑 攻击 者 使 用 免除 访问 受 保护 资源 的 所 有 可 能 性 .例如 如 果 允 许 了 未 经 认证 来 宾 用 户 访问 代 
理 服 务 器 ， 就 要 确定 该 用 户 不 能 使 用 代理 服务 器 访问 其 他 受 保护 的 资源 ， 如 内 部 文件 服务 器 、 
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FTP 服务 器 等 。 


另外 ， 用 户 还 应 该 使 用 物理 访问 和 网 络 访问 保护 (NAP) 来 保护 使 用 免除 的 网 络 。 例 
如 如 果 需 要 为 一 台新 配置 的 计算 机 创建 一 个 免除 ， 那 么 可 以 使 用 物理 锁 来 限制 网 络 访问 。 
这 将 防止 受 IPSec 保护 的 计算 机 去 访问 那些 允许 不 受 IPSec 保护 计算 机 访问 的 资源 ， 降 低 
了 机 密 信息 突然 外 泄 给 未 认证 计算 机 的 危险 ， 以 及 降低 了 来 自 未 认证 计算 机 的 病毒 攻击 内 
网 计算 机 的 危险 。 

最 后 ， 还 需要 应 用 深度 防御 安全 法 则 ， 不 能 仅仅 依靠 IPSec 的 安全 性 。 如 果 内 网 的 Web 
服务 器 需要 IPSec， 那 么 用 户 还 需要 在 Web 应 用 程序 中 使 用 认证 。 同 样 地 ， 如 果 使 用 IPSec 加 
密 E-mail 服务 器 的 通信 ， 还 需要 启动 应 用 层 加 密 (例如 ，SSL 证 书 加 密 )。 

如 图 15.23 所 示 是 IPSec 连接 策略 在 网 络 中 的 基本 部 署 。 域 隔离 应 该 用 于 限制 连接 到 域 成 
员 的 IPSec 连接 。 


211. 82. 216. 0/24 


Proxy E-mail Intranet Wel 


对 内 网 DNS 请 求 不 启用 IPSec， 
对 所 有 其 他 网 络 请 求 启用 IPSec| 


对 来 宾 账 户 不 启用 IPSec， 
对 所 有 其 他 网 络 请 求 启用 IPSec| 


对 所 有 网 络 连 接 请 求 启用 IPSec 保护 


对 接收 邮件 连接 不 启用 IPSec， 
对 发 送 邮件 连接 启用 IPSec 


对 所 有 网 络 内 连接 启用 IPSec， 
对 所 有 其 他 网 络 连接 不 启用 IPSed 


图 15.23 使 用 免除 的 隔离 示例 


2. 创建 IPSec 连接 安全 规则 

0 1 打开 “高 级 安全 Windows 防火 墙 ”窗口 ， 右 击 “ 连 接 安全 规则 ”选择 快 捷 菜单 中 的 “新 规则 ”选项 ， 
启动 “新 建 连接 安全 规则 向 导 ”， 在 “规则 类 型 ”对 话 框 中 ， 选 择 “ 自 定义 ” 单 选 按钮 。 单 击 “ 下 一 步 ” 
按钮 ， 在 “终结 点 ”对 话 框 中， 选择 “下 列 IP 地 址 ” 单 选 按钮 ， 单 击 “ 添 加 ”按钮 ， 即 可 添加 终结 点 
计算 机 ， 如 图 15.24 所 示 。 终结 点 是 形成 对 等 端 连接 的 计算 机 或 计算 机 组 ， 可 以 是 指定 单个 计算 机 ， 也 
可 以 是 一 个 本 地 子 网 。 
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图 15.24 设置 规则 类 型 和 终结 点 


注意 ，” 若 要 创建 身份 验证 免除 规则 ， 只 需要 指定 计算 机 或 者 一 组 或 一 个 范围 内 的 IP 地 址 
稳 (计算 机 ) 并 给 出 规则 的 名 称 和 说 明 (可 选 ) 即 可 。 即 使 对 计算 机 免除 身份 验证 ， 
防火 墙 仍 可 能 阻止 这 些 计算 机 ， 除 非 防 火 墙 规则 已 明确 允许 其 连接 。 


0 2 单 击 “下 一 步 ” 按钮 ， 在 “要 求 ”对 话 框 中 ,选择 “入 站 和 出 站 连接 请 求 身份 验证 ” 单 选 按钮 。 单 击 “ 下 
一 步 ” 按钮 ， 在 “身份 验证 方法 ”对 话 框 中 ， 选 择 “默认 值 ” 单 选 按钮 。 除 此 之 外 ， 用 户 也 可 以 选择 “高 
级 ” 单 选 按钮 ， 重 新 定义 自己 需要 的 身份 验证 方法 。 单 击 “ 下 一 步 ” 按 钮 ， 在 “配置 文件 ”对 话 框 中 ， 
选择 需要 应 用 规则 的 配置 文件 ， 系 统 默认 为 全 部 选择 ， 如 图 15.25 所 示 。 


图 15.25 设置 身份 验证 要 求 、 身 份 验证 方法 和 配置 文件 类 型 
注意 Kerberos V5 身份 验证 方法 仅 适用 于 Windows 域 环境 , 即 只 有 计算 机 或 用 户 帐户 是 
域 成 员 时 ， 才 可 以 使 用 该 验证 协议 。 


03 单 击 “ 下 一 步 ” 按 钮 ， 显 示 如 图 15.26 所 示 “ 名 称 ” 对 话 框 ， 在 “名 称 ” 和 “描述 ”文本 框 中 ,分别 输 
入 规则 名 称 和 描述 即 可 。 最 后 单 击 “ 完 成 ”按钮 关闭 向 导 ， 完 成 新 规则 的 创建。 
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图 15.26 “名 称 ” 对 话 框 


0 1 按照 “配置 常规 防火 墙 设置 ” 的 步 又， 在 “高 级 安全 Windows 防火 墙 属性 ”对 话 框 中 的 “IPSec 设置 ” 
选项 卡 中 ， 配 置 默认 IPSec 认证 和 加 密 要 求 。 默 认 情况 下 ， 只 有 计算 机 认证 是 使 用 Kerberos V5。 为 了 
更 高 的 安全 性 ， 可 以 选择 使 用 “计算 机 和 用 户 认证 ”。 

(02 按照 “添加 IPSec 连接 安全 规则 ”的 步 又 ， 为 默认 域 GPO 添加 连接 安全 规则 。 

3 监视 计算 机 保证 IPSec 连接 和 认证 及 加 密 都 能 够 正常 工作 。 此 处 可 以 参照 后 面 讲 到 的 “运行 维护 ”。 

04 按照 “添加 IPSec 连接 安全 规则 ”的 步骤 ,为 不 支持 IPSec 的 免除 计算 机 添加 连接 安全 规则 。 该 规则 越 
详细 越 好 ， 而 且 只 能 批准 有 限 数量 的 这 种 计算 机 ， 人 允许 它们 访问 尽量 少 的 资源 。 在 “新 建 连接 安全 规则 
向 导 ” 中 ， 在 “规则 类 型 ”对 话 框 ， 选 择 “身份 验证 例外 ”选项 。 在 “免除 计算 机 ”对 话 框 ， 指 定 需要 
免除 的 计算 机 的 IP 地 址 。 完 成 向 导 之 后 ， 编 辑 规 则 属性 ， 然 后 选择 “计算 机 ”选项 卡 。 如 果 只 人 允许 免 
除 计算 机 访问 有 限 的 资源 ， 那 么 将 网 络 资源 的 IP 地 址 输入 到 “终结 点 1” 中 (“终结 点 2” 中 列 出 的 是 
免除 计算 机 )。 

5 为 试验 组 中 的 计算 机 创建 新 的 GPO， 然 后 按照 “添加 IPSec 连接 安全 规则 ”的 步骤， 添加 IPSec 所 要 
求 的 连接 安全 规则 。 在 “规则 类 型 ”对 话 框 ， 选 择 “ 隔 高 ”。 在 “要 求 ”对 话 框 ， 选 择 “ 入 站 和 出 站 连 
接 要 求 身 份 认证 ”。 对 于 服务 器 而 言 ， 向 导 页 面 的 默认 设置 大 多 数 环境 下 都 是 适用 的 。 为 了 人 允许 移动 计 
算 机 连接 其 他 网 络 的 资源 ， 需 要 将 规则 应 用 于 “ 域 配置 文件 ”。 

6 监视 试验 中 的 计算 机 ， 并 保证 它们 能 够 正常 工作 和 正常 使 用 IPSec。 

7 通常 需要 扩展 IPSec 试验 GPO 的 作用 域 ， 使 更 多 的 计算 机 能 要 求 IPSec。 最 后 域 中 的 所 有 计算 机 都 要 
使 用 IPSec 连接 安全 。 


4. 配置 服务 器 隔离 


服务 器 隔离 配置 步骤 和 域 隔离 相似 。 对 于 客户 端 计算 机 的 安全 配置 ， 两 种 方法 基本 相同 ， 
但 是 对 于 服务 器 来 说 , 服务 器 隔离 只 要 求 对 入 站 连接 进行 安全 配置 ， 而 域 隔离 是 通过 创建 免除 
优先 来 进行 安全 配置 。 

服务 器 隔离 使 用 的 是 Kerberos V5 认证 或 计算 机 证 书 的 认证 方式 。 如 果 用 户 使 用 的 是 计算 
机 证 书 认证 ， 那 么 需要 满足 如 下 要 求 之 一 : 

里 从 公有 CA 处 购买 证 书 : 从 Windows 信任 的 CA 处 购买 的 证 书 ， 用 于 IPSec 通信 的 效果 
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是 很 理想 的 。 客 户 端 计算 机 同样 也 需要 证 书 ; 

昌 使 用 内 部 CA 产生 证 书 : 用 户 可 以 通过 内 网 CA (如 Windows Server 2008 活动 目录 证 书 
服务 ) 产生 自己 的 证 书 。 服 务 器 和 客户 端 都 要 使 用 该 证 书 ， 并 且 所 有 计算 机 都 要 信任 该 
证 书 。 


5. 配置 ICMP 免除 


管理 员 经 常 使 用 ICMP 协议 中 的 “ping” 命 令 来 确认 网 络 运行 状态 。 如 果 服 务 器 的 IPSec 
阻止 “ping ”命令 ， 管 理 员 就 无 法 正常 使 用 该 工具 。 因 此 ， 需 要 在 IPSec 安全 连接 规则 中 创建 
ICMP 免除 。 

在 高 级 安全 Windows 防火 墙 控制 台中 ， 右 击 “ 高 级 安全 Windows 防火 墙 % 在 弹出 的 快 
捷 菜 单 中 选择 “属性 ”选项 ， 打 开 “ 高 级 安全 Windows 防火 墙 -本 地 组 策略 对 象 属性 ”对 话 
框 ， 选 择 “IPSec 设置 ”选项 卡 〈 如 图 15.27 所 示 )， 在 “从 IPSec 免除 ICMP” 菜 单 中 ， 选 择 
“是 ” 然后 单 击 “ 确 定 ” 按 钮 即 可 。 


EE 


防火 培 - 本 二 组 策 喇 对 全 属性 
文件 | 公有 更 文件 :TSes 设置 | 


| 
i 莹 eRatoxeitaa SEX 
人 "gE i BL | 


人 msc on 上 fii | 


癌 
Qs 


三 | mw | 


图 15.27 “IPSec 设 置 ”选项 卡 


15.3 ”使 用 组 策略 配置 Windows 防火 墙 


在 中 小 型 网 络 环境 中 , 通过 使 用 Active Directory 和 组 策略 ， 可 以 集中 配置 Windows 防火 
墙 的 设置 ， 并 将 这 些 设 置 应 用 到 所 有 Windows XP SP2 客户 端 计算 机 。 用 户 可 以 在 Windows 
Vista 和 Windows Server 2008 计算 机 的 组 策略 控制 台中 , 可 以 通过 如 下 两 种 方式 配置 和 管理 高 
级 安全 Windows 防火 墙 : 

m 计算 机 配置 \Windows 设置 \ 安 全 设置 \ 高 级 安全 Windows 防火 墙 \ 高 级 安全 Windows 防火 

墙 : 这 种 节点 设置 主要 应 用 于 Windows Vista 和 Windows Server 2008。 建 议 用 户 使 用 这 
种 方式 ,因为 这 里 可 以 提供 更 加 详细 的 防火 墙 规则 配置 ,并 且 允 许 用 户 配置 新 的 认证 类 
型 和 新 的 加 密 选 项 ; 

m 计算 机 配置 \ 管 理 面板 \ 网 络 \ 网 路 连接 \Windows 防火 墙 : 这 种 节点 设置 主要 应 用 于 
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Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008。 这 种 方法 
要 比 上 面 那 种 缺少 灵活 性 ; 但 是 ， 可 以 应 用 于 所 有 版 本 的 Windows 防火 墙 。 如 果 在 
Windows Vista 中 使 用 的 不 是 最 新 的 IPSec 功能 ， 可 以 使 用 这 种 方式 配置 所 有 客户 端 。 


15.3.1 创建 组 策略 


为 了 到 达 最 好 的 效果 ， 需 要 为 Windows XP/Windows Server 2003/Windows Vista/Windows 
Server 2008 创建 单独 的 组 策略 ， 然 后 使 用 WMI 请 求 定位 组 策略 到 运行 适当 的 Windows 版 本 
的 计算 机 。 


四 1 以 具有 域 管理 员 权限 的 用 户 登录 到 域 控制 器 ， “0 2 单 击 “ 确 定 ”按钮 ， 返 回 如 图 15.29 所 示 “ 组 
依次 选择 “开始 ”一 “管理 工具 ”一 “组 策略 管理 ” 策略 管理 ”窗口 。 右 击 创建 成 功 的 “Windows 防火 
选项 ， 打 开 “ 组 策略 管理 ”窗口 。 依 次 展开 “ 林 ” ” 墙 % 选择 快捷 菜单 中 的 “编辑 ”选项 ， 显 示 “ 组 策 
一 “ 域 ” 一 “coolpen .net” 选 项 ， 右 击 新 建 策略 应 。 略 管理 编辑 器 ”窗口 ， 依 次 展开 “计算 机 配置 ”一 
用 到 的 组 织 单位 ， 选 择 快捷 菜单 中 的 “在 这 个 域 中 “策略 ”一 “管理 模板 ”一 “网 络 ” 一 “网 络 连 接 ” 
创建 GP0 并 在 此 处 链接 ”选项 ， 显 示 如 图 15.28 所 ”一 “Windows 防火 墙 ?选项 , 即 可 开始 编辑 Windows 
示 “ 新 建 GP0” 对 话 框 ， 在 “名 称 ” 文 本 框 中 ， 输 ”防火 墙 相关 的 策略 设置 。 

入 希望 使 用 的 策略 名 称 ， 如 Windows 防火 墙 。 


名 称 中 : 
[Er 7 
源 Starter GP0 G): 

Wt 可 


Ce] ww | 


图 15.28 “新 建 GP0” 对 话 框 


15.3.2 设置 Windows 防火 墙 ， 允许 通过 验证 的 IPSec 旁 路 


该 策略 将 允许 来 自 指定 系统 的 未 经 请 求 的 传 入 消息 , 如 果 启 用 该 策略 设置 , 必须 输入 包含 
计算 机 或 计算 机 组 的 列表 的 安全 描述 符 。 如 果 列表 上 的 计算 机 通过 使 用 IPSec 的 验证 , Windows 
防火 墙 不 会 阻止 未 经 请 求 的 消息 。 如 果 禁 用 或 不 配置 该 策略 设置 ，Windows 防火 墙 不 会 对 计 
算 机 发 送 的 消息 进行 例外 处 理 ， 即 使 计算 机 通过 了 IPSec 的 验证 。 
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01 在 组 策略 对 象 编辑 器 的 控制 台 树 中 ， 选 择 “ 计 “0 2 双击 ‘Windows 防火 墙 :允许 通过 验证 的 IPSec 
算 机 配置 ”一 “管理 模板 ”一 “网 络 ”一 “网 络 连 。 旁 路 ”策略 ， 显 示 如 图 15.31 所 示 “Windows 防火 
接 ” 一 “Windows 防火 墙 ” 选 项。 显示 如 图 15.30 ” 墙 : 允许 通过 验证 的 IPSec 旁 路 属性 ”对 话 框 。 根 


所 示 组 策略 中 的 Windows 防火 墙 选项 。 据 需要 选中 “已 启用 ”或 者 “已 禁止 ” 单 选 按钮 ， 
即 可 完成 策略 的 设置 。 然 后 单 击 “确定 ”按钮 。 


Tindors 防火 培 : 允许 通 过 验证 的 PSse 旁 器 攻 性 


图 15.30 组 策略 中 的 Windows 防火 墙 选项 图 15.31 “Windows 防火 墙 : 允许 通过 验证 
的 IPSec 旁 路 属性 ”对 话 框 


提示 “允许 通过 验证 的 IPSec 旁 路 ”设置 如 下 : 
\ 洋 。 "未 配置 : 此 GPO 不 会 更 改 Windows 防火 墙 的 当前 配置 ; 
日 已 启用 : Windows 防火 墙 不 会 处 理 受 IPSec 保护 的 通信 ， 除 非 是 来 自 策略 
中 列 出 的 用 户 或 组 ; 
已 禁用 : Windows 防火 墙 将 处 理 受 IPSec 保护 的 通信 。 


15.3.3 ”标准 配置 文件 / 域 配置 文件 


Windows 防火 墙 配置 文件 分 为 : 标准 配置 文件 和 域 配置 文件 。 标 准 配置 文件 是 基于 本 地 
计算 机 的 Windows 防火 墙 配置 ， 域 配置 文件 是 基于 AD 的 网 络 防火 墙 配置 。 标 准 配置 文件 和 
域 配置 文件 下 的 子 策略 所 完成 的 功能 ， 与 “Windows 防火 墙 ” 设 置 所 完成 的 功能 是 相同 。 

这 里 以 域 配置 文件 为 例 , 介绍 如 何在 组 策略 下 配置 Windows 防火 墙 。 打 开 组 策略 控制 台 ， 
依次 展开 “计算 机 配置 ”一 “Windows 设置 ”一 “管理 模板 ”一 “网 络 ”一 “网 络 连接 ”一 
“Windows 防火 墙 ” 一 “ 域 配置 文件 ”选项 ， 在 右 侧 列表 中 显示 Windows 防火 墙 域 配置 文件 
策略 中 的 所 有 子 策略 ， 如 图 15.32 所 示 。 

例如 ， 配 置 “Windows 防火 墙 : 允许 本 地 程序 例外 ”策略 。 如 果 启 用 该 策略 设置 ， 将 允 
许 用 户 在 Windows 防火 墙 组 件 中 向 本 地 程序 中 添加 例外 列表 。 双 击 右 侧 窗口 中 的 “Windows 
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防火 墙 : 允许 本 地 程序 例外 ”策略 ， 打 开 “Windows 防火 墙 : 允许 本 地 程序 例外 属性 ”对 话 
框 ， 如 图 15.33 所 示 。 根 据 需要 选择 “已 启用 ” 单 选 按钮 ， 即 可 启用 该 策略 。 


indors 防火 培 :允许 本 地 程序 例外 属性 | 
证 | 亢 | 注 | 
也 iinims 防 境 ， 允 计 本 地 得 床 外 


: 者) 


| ah 


个 已 启用 全 ) 
个 已 姑 用 m) 


前 


EET 


南村 于 至少 具有 SP2 的 Nicrosoft Wintows 3P Prof. 


EN | 下 一 人 于 加 


应 用 愉 ) 


J 


图 15.32 域 配置 文件 窗口 


图 15.33 “Windows 防火 墙 : 允许 本 地 程序 例外 属性 ”对 话 杠 


在 中 小 型 企业 网 络 中 ， 推 荐 用 户 按照 表 15.2 中 的 推荐 值 ， 部 署 Windows 防火 墙 标准 配置 


文件 和 域 配置 文件 。 


表 15.2 ”小 型 或 中 型 企业 的 Windows 防火 墙 组 策略 推荐 配置 


设置 描述 域 配置 文件 
允许 本 地 程序 例外 | 启用 程序 例外 的 本 地 配 己 禁 用 ， 除 非 需要 本 地 管理 员 
置 在 本 地 配置 程序 例外 
定义 入 站 程序 例外 “| 按照 程序 文件 名 定义 例 | 如 果 网 络 上 的 计算 机 | 如 果 网 络 上 的 计算 机 运行 
外 通信 运 行 WindowsXP | WindowsXP SP2， 则 启用 和 配 
SP2， 则 启用 和 配置 由 | 置 由 其 使 用 的 程序 
其 使 用 的 程序 
保护 所 有 网 络 连接 | 指定 为 所 有 网 络 连接 启 | 已 启用 已 启用 
用 Windows 防火 墙 
不 允许 例外 指定 放弃 所 有 进入 的 垃 | 已 启用 , 除非 您 必须 配 | 未 配置 
圾 和 通信， 包括 例 外 通信 “| 置 程序 例外 
允许 入 站 文件 和 打 | 指定 是 否 允许 文件 和 打 | 已 禁用 已 禁用 , 除非 运行 WindowsXP 
印 机 共享 例外 印 机 共享 通信 SP2 的 计算 机 正在 共享 本 地 次 
源 
人 允许 ICMP 例外 指定 允许 的 ICMP 消息 已 禁用 ， 除 非 希望 使 用 ping 
类 型 命令 排除 故障 
允许 记录 日 志 允许 通信 日 志和 配置 日 未 配置 
志文 件 设置 
阻止 通知 禁用 通知 已 禁用 已 禁用 
允许 本 地 端口 例外 “| 启用 端口 例外 的 本 地 | 已 禁用 已 禁用 
配置 
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( 续 表 ) 
设置 描述 标准 配置 文件 域 配置 文件 
定义 入 站 端口 例外 “| 按照 TCP 和 UDP 指 | 已 禁用 已 禁用 
定 例外 通信 

允许 入 站 远程 管理 | 允许 使 用 工具 进行 远程 | 已 禁用 已 禁用 ， 除 非 希望 能 够 使 用 

例外 配置 MMC 管理 单元 远程 管理 您 的 
计算 机 
允许 入 站 桌面 例外 | 指定 计算 机 是 否 可 以 接 | 已 启用 已 启用 


受 基于 远程 桌面 的 连接 
请 求 
阻止 对 多 播 或 广播 | 放弃 针对 多 播 或 广播 请 | 已 启用 
请 求 的 单 播 响应 求 消息 而 收 到 的 单 播 数 
据 包 


允许 入 站 UPnP 框架 | 指定 计算 机 是 否 可 以 接 己 禁 用 
例外 收 垃圾 UPnP 消息 


15.3.4 合理 部 署 标准 配置 文件 / 域 配置 文件 示例 


已 启用 


1. 定义 入 站 端口 例外 策略 


如 果 启 用 该 策略 设置 , 可 以 查看 和 更 改 由 组 策略 定义 的 端口 例外 列表 。 如 果 禁 用 该 策略 设 
置 , 由 组 策略 定义 的 端口 例外 列表 将 被 删除 , 但 其 他 策略 设置 可 以 继续 打开 或 禁用 端口 。 此 时 ， 
如 果 存 在 本 地 端口 的 例外 列表 ， 将 会 被 Windows 防火 墙 忽略 掉 ， 除 非 用 户 启用 了 “Windows 
防火 墙 允许 本 地 端口 例外 ”策略 设置 。 如 果 不 配置 该 策略 设置 ，Windows 防火 墙 只 会 使 用 
由 “Windows 防火 墙 ” 组 件 定义 的 本 地 端口 例外 列表 。 


01 在 “ 域 配置 文件 ”设置 区 域 中 ， 双 击 “Windows 防火 墙 ， 定 义 入 站 端口 例外 ”选项 。 显 示 如 图 15.34 
所 示 “Windows 防火 墙 : 定义 入 站 端口 例外 属性 ”对 话 框 。 

2 选择 “已 启用 ” 单 选 按钮 ， 单 击 “ 显 示 ” 按 钮 ， 打 开 “ 显 示 内 容 ” 对 话 框 。 单 击 “ 添 加 ”按钮 ， 显 示 如 

15.35 所 示 “ 添 加 项 目 ” 对 话 框 。 输 入 要 阻止 或 启用 的 端口 的 相关 信息 。 使 用 以 下 语法 : 

port: transport: scope: status: name 


闷 访问 端口 的 计算 机 列表 , status 是 已 启用 或 已 禁用 , name 是 用 作 此 条 目标 签 的 文本 
字符 串 。 此 实例 名 为 text， 并 为 所 有 连接 启用 TCP 端口 80。 
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个 未 醒 置 尼 ) 
三 已 自用 @) 
BM) 
定 X 庙 D 侧 | 宇 二 习 
| 
语法 
Port); Tr msport); Geope): Gtatus), ne 
人 ert》 是 十 进 制 庙 吕 号 


《Transport》 是 “TCP” 或 “UDP 
《Seope》 是 “*” (用 于 所 有 隐 络 ) 或 
所 合 下 列 顺 目的 任意 执 量 或 8 合 
并 以 到 号 分 隔 的 列表 
理 地 址 ; 如 10.00.1 日 
支持 于 至 少 具 有 SP2 的 Nierosoft Windows X? Prof 
上 一 个 设置 PR) | _ 下 -个 设 归 0 


取 肖 协 用 了 
图 15.34 “Windows 防火 墙 定义 入 站 端口 例外 属性 ”对 话 框 


仿生 目 0); 二 


图 15.35 添加 项 目 


03 依次 单 击 “ 确 定 ”按钮 ， 关 闭 “Windows 防火 墙 ， 定义 端口 例外 属性 ”对 话 框 ， 保 存 设置 即 可 。 


2. 启用 入 站 程序 例外 策略 


如 果 启 用 了 该 策略 设置 , 可 以 查看 和 更 改 由 组 策略 定义 的 程序 例外 列表 。 如 果 将 一 个 程序 
添加 到 此 列表 并 将 其 状态 设置 为 “已 启用 ”， 此 程序 就 可 以 在 要 求 Windows 防火 墙 打开 的 任何 
端口 上 , 接受 到 未 经 请 求 的 传 入 消息 , 即使 此 端口 被 其 他 策略 设置 阻止 。 如果 禁用 该 策略 设置 ， 
由 组 策略 定义 的 程序 例外 列表 将 被 删除 。 如 果 想 继续 使 用 本 地 的 程序 例外 列表 ， 则 必须 启用 


“Windows 防火 墙 ， 允 许 本 地 程序 例外 ”策略 设置 。 


1 在 “ 域 配置 文件 ”设置 区 域 中 ， 双 击 “Windows 防火 墙 ， 定义 入 站 程序 例外 ”选项 。 显 示 如 图 15.36 


所 示 “Windows 防火 墙 : 定义 入 站 程序 例外 属性 ”对 话 框 。 


Ca 
《eope》 是 “*” 二 于 所 有 阳 络 ) 或 
也 含 下 列 项 目的 任意 条 重 或 组 全 

并 引 到 


焉 地 址 * 如 10.001 
TE 如 sn 2 ns 


Pathy Seepe): Status): Fone 
是 程序 说 色 和 文件 名 


甘于 至少 具有 SP2 的 旺 erozeft Windows XP Fr 


上 一 个 设置 中 下 -个 经 和 


图 15.36 “Windows 防火 墙 : 定义 程序 例外 属性 ”对 话 框 


0 2 选择 “已 启用 ” 单 选 按钮 ， 单 击 “ 显 示 ” 按 钮 ， 打 开 “ 显 示 内 容 ”对 话 框 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 


path: scope: status: name 


图 15.37 所 示 “ 添 加 项 目 ” 对 话 框 。 输 入 要 阻止 或 启用 程序 的 相关 信息 。 使 用 以 下 语法 : 
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提示 “path 是 程序 路 径 和 文件 名 , scope 是 * (用 于 所 有 计算 机 ) 或 允许 访问 程序 的 计算 机 


MEA 列表 ，status 是 已 启用 或 已 禁用 ，name 是 用 作 此 条 目标 签 的 文本 字符 串 。 


03 此 实例 名 为 MSN， 为 所 有 连接 启用 WindowsLive 程序 ， D: \software\wlsetup-web.exe。 输 入 完成 后 ， 
单 击 “ 确 定 ” 按 钮 ， 将 其 添加 到 “显示 内 容 ” 对 话 框 中 即 可 。 


添加 项 目 X| 
输入 要 添加 项目): 证 | 
Pi\software\lsetup-web. exe-*: enable-lSN | 
显示 内 容 
E | 
| 
L253] 


图 15.37 “添加 项 目 ” 对 话 框 
04 依次 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


注意 ”如果 输入 无 效 的 定义 字符 囊 ，Windows 防火 墙 不 会 检查 其 是 否 存在 错误 。 利 用 这 

LS 个 特点 ， 可 以 将 还 没有 安装 的 程序 添加 进来 。 需 要 注意 的 是 ， 可 以 为 一 个 程序 创建 
作用 域 或 状态 值 相 互 冲突 的 多 个 项 目 。Windows 防火 墙 只 会 为 正在 运行 并 在 监听 
传 入 消息 的 程序 打开 端口 ， 如 果 此 程序 没有 运行 ， 或 正在 运行 但 不 在 监听 消息 ， 
Windows 防火 墙 都 不 会 为 其 打开 任何 端口 。 


3. 允许 ICMP 例外 策略 


如 果 启 用 该 策略 设置 ， 必 须 指 定 
Windows 防火 墙 允许 本 地 计算 机 发 送 和 接 
收 的 ICMP 消息 类 型 ,如果 禁用 该 策略 设置 ， 
Windows 防火 墙 会 阻止 所 有 未 经 请 求 的 传 
入 ICMP 消息 类 型 和 列 出 的 传 出 ICMP 消息 
类 型 。 因 此 ， 使 用 阻止 的 ICMP 消息 的 工具 
将 无 法 向 此 计算 机 发 送 或 从 此 计算 机 接收 
这 些 消息 。 如 果 不 配置 该 策略 设置 , Windows 
防火 墙 与 禁用 该 策略 的 表现 是 相同 。 


iatews 防火 墙 : 允许 TCRE 例外 属性 


支持 于 :至 少 具有 SF2 的 是 eroxeft Windows XP Prof 


上 1 双击 “Windows 防火 墙 : 允许 ICMP 例外 ” 选 上 一 人 是 几 “| 下 一 亿 轩 人 


项 ， 显 示 如 图 15.38 所 示 “Windows 防火 墙 ; 取消 | _ 庙 及 
人 允许 ICMP 例外 属性 ”对 话 框 。 选择 “已 启用 ” 
单 选 按钮 ， 选 择 要 启用 的 适当 ICMP 例外 。 


图 15.38 “Windows 防火 墙 允许 ICMP 例外 属性 ”对 话 杠 
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02 单 击 “ 确 定 ”按钮 ， 关 闭 “Windows 防火 墙 ， 允许 ICMP 例外 属性 ”对 话 框 。 


4. 允许 记录 日 志 策 略 


该 策略 用 于 配置 ， 是 否 允许 Windows 
防火 墙 记录 有 关 其 接收 的 未 经 请 求 的 传 入 
消息 的 信息 。 如 果 启 用 该 策略 设置 ， 
Windows 防火 墙 将 信息 写 入 日 志文 件 。 需 
要 注意 的 是 ， 必 须 提供 日 志文 件 的 名 称 、 
位 置 和 大 小 上 限 等 信息 。 必 须 同时 指定 是 
否 记 录 有 关 防 火 墙 阻止 (丢弃 ) 的 传 入 消 


息 的 信息 ， 及 成 功 的 传 入 入 


传 出 连接 的 消 


息 ，Windows 防火 墙 不 会 提供 记录 成 功 的 


传 入 消息 的 方法 。 


上 1 在 ' 域 配置 文件 "设置 区 域 中 , 双击 ^Windows 
防火 墙 ， 允许 记 录 日 志 ” 选 项 ， 显 示 
“Windows 防火 墙 ， 人 允许 记录 日 志 属性 ” 
对 话 框 。 选择 “已 启用 ” 单 选 按钮 , 选中 “ 记 
录 被 丢弃 的 数据 包 ” 和 “记录 成 功 的 连接 ” 复 选 框 ， 输 入 日 志文 件 路 径 和 名 称 ， 保 留 默认 日 志文 件 大 小 ， 
显示 如 图 15.39 所 示 “Windows 防火 墙 ， 允许 记录 日 志 属性 ”对 话 框 ， 然 后 单 击 “ 确 定 ”按钮 。 


注意 


Yindovs 防火 培 : 允许 记录 日 志 属性 


太 小 限制 0m); [as 习 


支持 于 至少 具有 SP2 的 是 creseft Windows XP Prof 


上 fm | 下 -RE | 
吏 消 。 |， 应 用 失 ) 


图 15.39 “Windows 防火 墙 : 允许 记录 日 志 属性 ”对 话 框 


介 必须 确保 将 日 志文 件 保存 到 一 个 安全 的 位 置 ， 以 免 遭 受 任何 意外 或 故意 修改 。 


0 2 完成 对 Windows 防火 墙 设置 的 更 改 后 ， 关 闭 控制 合 。 


注意 关闭 控制 台 时 ， 将 会 提示 保存 控制 台 。 无 论 是 否 保存 控制 台 ，GPO 设置 都 会 得 到 


保存 。 


15.4 使 用 命令 行 配置 Windows 防火 墙 


对 于 初级 管理 员 而 言 , 控制 台 和 组 策略 方式 比较 适用 , 但 是 对 于 管理 技能 丰富 的 高 级 管理 
员 而 言 , 前 两 种 方式 略 显 麻烦 , 命令 行 管理 方式 更 加 简便 、 快 捷 、 高 效 。 在 Windows Server 2008 
系统 中 ， 管 理 员 可 以 使 用 全 新 的 netsh advfirewall> 命 令 环境 ,配置 和 管理 “高 级 安全 Windows 


防火 墙 ”。 
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15.4.1 常用 命令 介绍 


netsh advfirewall 是 netsh 命令 的 一 个 子 命令 ， 不 仅 继承 了 netsh> 环 境 下 的 部 分 子 命令 ， 
包含 一 些 专用 的 命令 选项 。netsh advfirewall netsh> 环 境 下 继承 来 的 子 命令 如 下 : 
上 = 长 上 下文 级 ; 


@ Abort 一 一 丢弃 在 脱 机 模式 下 所 做 的 更 改 ; 
@ Add 一 一 在 项 目 列表 上 添加 一 个 配置 项 目 ; 
和 Advfirewall 一 一 更 改 到 “netsh advfirewall ”上下文 ; 
@ Alias 一 一 添加 一 个 别名 ; 
和 Bridge 一 一 更 改 到 “netsh bridge” 上 下 文 ; 
@ Bye 一 一 退出 程序 ; 
@ Commit 一 一 提交 在 脱 机 模式 中 所 做 的 更 改 ; 
@ Delete 一 一 在 项 目 列表 上 删除 一 个 配置 项 目 ; 
和 Dhcpclient 一 一 更 改 到 “netsh dhcpclient” 上 下 文 ; 
mm Exit 一 一 退出 程序 ; 
上 Firewall 一 一 更 改 到 “netsh firewall” 上 下 文 ; 
和 http 一 一 更 改 到 “netsh http” 上 下 文 ; 
和 Interface 一 一 更 改 到 “netsh interface” 上 下 文 ; 
昌 IPSec 一 一 更 改 到 “netsh IPSec” 上 下 文 ; 
Lan 一 一 更 改 到 “netsh lan” 上 下 文 ; 
@ Nap 一 一 更 改 到 “netsh nap” 上 下 文 ; 
@ Netio 一 一 更 改 到 “netsh netio” 上 下 文 ; 
em Offline 一 一 将 当前 模式 设置 成 脱 机 ; 
mm Online 一 一 将 当前 模式 设置 成 联机 ; 
Popd 一 一 从 堆栈 上 打开 一 个 上 下 文 ; 
mm Pushd 一 一 将 当前 上 下 文 放 入 堆栈 ; 
退出 程序 ; 
Ras 一 一 更 改 到 “netsh ras” 上 下 文 ; 
和 Rpc 一 一 更 改 到 “netsh rpc” 上 下 文 ; 
到 Set 一 一 更 新 配置 设置 ; 
示 信 息 ; 
于 Unalias 一 一 删除 一 个 别名 
和 Winhttp 一 一 更 改 到 “netsh winhttp” 上 下 文 ; 
和 Winsock 一 一 更 改 到 “netsh winsock” 上 下 文 ; 
和 Wlan 一 一 更 改 到 “netsh wlan” 上 下 文 。 


除 上 述 继承 选项 外 ，netsh advfirewall 命令 还 支持 如 下 选项 和 子 命令 : 
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显示 命令 列表 ; 

和 Consec 一 一 更 改 到 “netsh advfirewall consec” 上 下 文 ; 
mm Dump 一 一 显示 一 个 配置 脚本 ; 

@ Export 一 一 将 当前 策略 导出 到 文件 ; 

里 Firewall 一 一 更 改 到 “netsh advfirewall firewall” 上 下 文 ; 
和 Help 一 一 显示 命令 列表 ; 

@ Import 一 一 将 策略 文件 导入 当前 策略 存储 ; 

和 Monitor 一 一 更 改 到 “netsh advfirewall monitor” 上 下 文 ; 
和 Reset 一 一 将 策略 重 置 为 默认 全 新 策略 ; 

@ Set 一 一 设置 每 个 配置 文件 或 全 局 设置 ; 

到 Show 一 一 显示 配置 文件 或 全 局 属性 。 


1. Help 命令 


Help 命令 是 最 有 用 ， 也 是 最 好 用 的 命令 。 任 何 时 候 输入 “?” 命 令 ， 都 会 看 到 和 上 下 文 相 
关 的 所 有 选项 ， 既 简单 又 方便 。 
注意 “如 果 在 命令 提示 符 中 直接 输入 “? ”， 将 会 显示 是 不 可 运行 的 程序 或 批 处 理 文件 。 
9 出 现 这 种 情况 时 ， 可 以 直接 输入 “help” 命 令 ， 再 按 下 回 车 键 。 即 可 显示 详细 信息 
作为 参考 。 


2. Consec (连接 安全 规则 ) 命令 


Consec 是 连接 安全 规则 命令 ， 这 个 连接 规则 可 以 创建 两 个 系统 之 间 的 IPSec VPN。 换 言 
之 ，Consec 规则 能 够 加 强 通过 防火 墙 的 通信 的 安全 性 ， 而 不 仅仅 是 限制 或 过 滤 它 。Consec 环 
境 中 支持 的 命令 包括 : 

add 命令 添加 新 连接 安全 规则 ; 

m delete 命令 删除 所 有 匹配 的 连接 安全 规则 ; 

dump 命令 显示 一 个 配置 脚本 ; 

里 help 命令 显示 命令 列表 ; 

曙 set 命令 为 现 有 规则 的 属性 设置 新 值 ; 

于 Show 命令 显示 指定 的 连接 安全 规则 。 


3. Export 命令 


Export 命令 可 以 导出 防火 墙 当前 所 有 的 配置 到 一 个 文件 中 。 这 个 命令 非常 有 用 , 可 以 备份 
所 有 的 配置 到 文件 中 , 如 果 对 已 经 做 出 的 配置 不 满意 , 可 以 随时 使 用 这 个 文件 恢复 到 修改 前 的 

4. Import 命令 

Import 命令 可 以 从 一 个 文件 中 导入 防火 墙 的 配置 。 这 个 命令 可 以 把 之 前 使 用 Export 命令 
导出 的 防火 墙 配置 再 恢复 回去 。 
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5. Firewall 命令 


使 用 Firewall 命令 既 可 以 增加 新 的 入 站 和 出 站 规则 到 防火 墙 中 , 还 可 以 修改 防火 墙 中 的 规 
则 。 在 firewall 上 下 文 命令 中 ， 支 持 的 命令 包括 : 

a add 命令 添加 新 入 站 或 出 站 防火 墙 规则 ; 

和 delete 命令 删除 所 有 匹配 入 站 规则 ; 

@ dump 显示 一 个 配置 脚本 ; 

到 help 命令 显示 命令 列表 ; 

昌 Set 命令 为 现 有 规则 的 属性 设置 新 值 ; 

昌 Show 命令 将 显示 指定 的 防火 墙 规则 。 


6. Reset 命令 


Reset 命令 可 以 重新 设置 防火 墙 策略 到 默认 策略 状态 。 使 用 这 个 命令 时 务必 谨慎 ， 因 为 一 
旦 输入 这 个 命令 并 按 下 回 车 后 ， 它 将 不 再 确认 是 否 真 要 重 设 ， 直 接 恢复 防火 墙 的 策略 。 


7. Set 命令 
Set 命令 允许 修改 防火 墙 的 不 同 设置 状态 ， 该 命令 环境 下 支持 的 命令 包括 : 


@ set allprofiles 在 所 有 配置 文件 中 的 设置 属性 ; 
a set currentprofile 在 活动 配置 文件 中 设置 属性 ; 
@ set domainprofile 在 域 配置 文件 中 设置 属性 ; 
set global 设置 全 局 属性 ; 

@ set privateprofile 在 专用 配置 文件 中 设置 属性 ; 
a set publicprofile 设置 公用 配置 文件 中 的 属性 。 


15.4.2 命令 行 配置 示例 


1. 使 用 默认 值 为 域 隔离 添加 规则 
为 当前 域 中 所 有 客户 端 添加 隔离 规则 ， 名 称 为 coolpen， 身 份 验 证 方式 为 ， 入 站 要 求 身份 
验证 ， 出 站 请 求 身份 验证 。 在 命令 提示 符 窗口 中 输入 如 下 命令 : 


netsh advfirewall consec add rule name="coolpen" endpointl=any endpoint2=any 
action=requireinrequestout 


回 车 执行 ， 成 功 完成 后 显示 如 图 15.40 所 示 结 果 。“ 确 定 ” 全 记 内 


图 15.40 创建 域 隔离 规则 
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为 检验 规则 详细 配置 信息 ， 可 以 继续 输入 如 下 命令 : 


netsh advfirewall consec show rule coolpen 


可 车 执行 ， 显 示 如 图 15.41 所 示 结 果 。 


RequireInhequestOut 
ekerh 


DMGroup2-AFS128-SHA1 . DMGroun2-3DES-SHAL 
Al:None *ESP: SHAL -None *6Bnin +1908B0Kb, AH: No 


saera Ndniniatracer》 
eers\Adninis trator> 
:Nsers Adninistrator> 


图 15.41 查看 规则 详细 信息 


2. 创建 子 网 到 子 网 的 安全 连接 规则 


创建 从 子 网 A (192.168.0.0，external ip=60.9.255.48) 到 子 网 B (211.82.218.0，external 
ip=121.17.46.88) 的 隧道 模式 规则 ， 名 称 为 HSNC， 规 则 类 型 为 “隧道 ”身份 验证 方式 为 “入 
站 和 出 站 连接 请 求 身份 验证 ”。 在 命令 提示 符 窗口 中 输入 如 下 命令 : 

netsh advfirewall consec add rule name="hsnc" mode=tunnel endpoint1=192.168.0.0/16 


endpoint2=211.82.218.0/24remotetunnelendpoint=121.17.46.88localtunnelendpoint=60.9. 
255.48 action=requireinrequireout 


回 车 执行 ， 显 示 如 图 15.42 所 示 结 果 ， 即 创建 成 功 。 


sare \Adninistrator)netsh advfirevall consec add rale nane=rhsnc' node=tunnel 


endpoint1=192.168.M.M/16 endpoint2=211 .82-21N.0/24 renotetunne lendpoint=121.17. 
localtunne lendpoint -60.9.255.48 action=requine innequireout 


:ser Mdninistrator) 


图 15.42 创建 子 网 到 子 网 的 安全 连接 规则 


3. 创建 访问 规则 


新 增 一 条 人 允许 messengerexe 访问 入 站 的 规则 ， 名 称 为 “all messenger”， 可 以 在 命令 提示 
符 窗 口中 ， 输 入 如 下 命令 : 


netsh advfirewall firewall add rule name="allow messenger" dir=in 
program="c:\programfiles\messenger\msmsgs.exe” action=allow 


回 车 执行 ， 显 示 如 图 15.43 所 示 结 果 。 
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图 15.43 创建 入 站 规则 
继续 输入 如 下 命令 : 


netsh advfirewall firewall show rule "allow messenger" 


回 车 执行 ， 即 可 查看 已 经 成 功 创建 的 如 站 规则 的 详细 信息 ， 如 图 15.44 所 示 。 


图 15.44 查看 入 站 规则 详细 信息 


15.4.3 ”netsh firewall> 命 令 环境 


netsh firewall> 命 令 环境 主要 用 于 管理 和 配置 普通 Windows 防火 墙 ,区 别 于 Windows Server 
2008 中 的 高 级 安全 Windows 防火 墙 ， 但 是 在 Windows Server 2008 和 Windows Vista 系统 中 仍 
然 可 用 ， 用 法 与 nesh advfirewall> 类 似 。 


1. 快速 查看 Windows 防火 墙 配置 状态 
在 “netsh firewall” 提 示 符 下 ， 输 入 字符 串 命令 “show state”， 单 击 回 车 键 后 ， 显 示 如 图 


15.45 所 示 “ 管 理 员 : 命令 提示 符 - netsh” 窗 口 ， 可 以 查看 系统 自 带 防火 墙 各 个 方面 的 安全 配 
置 状 态 信息 。 
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图 15.45 “管理 员 : 命令 提示 符 - netsh” 窗 口 


这 里 发 现 了 Windows 系统 自 带 防 火 墙 使 用 了 标准 配置 文件 ， 启 用 了 例外 模式 ， 多 播 / 广 
播 响应 模式 ， 禁 止 了 通知 模式 ， 所 有 网 络 连接 接口 上 没有 网 络 端口 被 打开 。 


2. 用 命令 配置 Windows Server 2008 文件 和 打印 共享 


在 访问 Windows Server 2008 系统 中 的 网 络 打印 机 时 ， 会 经 常 遇 到 无 法 访问 网 络 打印 机 的 
故障 现象 ,这 种 故障 现象 往往 都 是 由 于 对 应 系统 自 带 的 防火 墙 禁止 文件 和 打印 共享 操作 连接 网 
络 造成 的 ， 这 时 就 需要 对 Windows Server 2008 系统 防火 墙 进行 合适 配置 ， 让 其 允许 文件 和 打 
印 共享 操作 连接 网 络 。 

以 管理 员 身 份 打开 命令 提示 符 窗口 ， 进 入 netsh firewall> 命 令 环境 。 输 入 如 下 命令 : 


set opmode enable 


回 车 执行 ， 进 入 系统 防火 墙 的 全 局 操作 模式 。 文 件 和 打印 共享 操作 需要 开启 a 
TCP445、UDP137、UDP138 端口 ， 管 理 员 可 以 继续 在 当前 环境 下 依次 输入 并 执行 如 下 命令 

add portopening TCP 139 blah enable subnet 

add portopening TCP 445 blah enable subnet 


add portopening UDP 137 blah enable subnet 
add portopening UDP 138 blah enable subnet 


成 功 完成 后 ， 显 示 如 图 15.46 所 示 结 果 。 
这 时 Windows Server 2008 系统 防火 墙 就 会 自 
动 开启 TCP139、TCP445、UDP137、UDP138 
等 端口 ， 一 旦 端口 被 成 功 启用 后 ， 就 可 以 通 
过 这 些 端口 访问 到 安装 在 Windows Server 
2008 系统 中 的 网 络 打印 机 。 


15.46 netsh firewall 命令 
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15.5 ”Windows 防火 墙 事件 审核 配置 


Windows 防火 墙 日 志 可 以 记录 Windows 防火 墙 工作 过 程 中 的 状态 变化 ， 以 及 防火 墙 规则 
的 应 用 情况 。 通 过 对 Windows 防火 墙 产生 的 事件 进行 审核 ， 可 以 帮助 用 户 快速 了 解 网 络 策略 
的 运行 及 更 改 情况 ， 在 排除 Windows 防火 墙 故障 时 尤为 有 用 。 通 常情 况 下， 管理 员 可 以 通过 
事件 查看 器 中 的 相关 日 志 ， 详 细 了 解 工作 过 程 中 的 状态 变化 。 


15.5.1 启用 审核 设置 


若 要 配置 Windows 防火 墙 事件 审核 ， 必 须 以 


具有 系统 管理 员 权限 的 用 户 帐户 登录 系统 ， 启 用 记 


本 地 策略 中 的 “审核 策略 更 改 ^““ 审 核 进程 跟踪 ” pr 
和 “审核 系统 事件 ”策略 。 单 击 “ 开 始 ”按钮 ， Er 
在 “开始 搜索 ”文本 框 中 输入 “gpeditmsc ”， 近 2 有 


Enter 键 显示 如 图 15.47 所 示 “ 本 地 组 策略 编辑 器 ” 
窗口 。 如 果 是 域 环 境 中 部 署 所 有 客户 端 Windows 
防火 墙 ， 直 接 以 域 管理 员 帐户 编辑 域 策 略 中 的 相 
关 设 置 即 可 。 


1. 审核 策略 更 改 图 15.47 “本 地 组 策略 编辑 器 ”窗口 


在 “本 地 组 策略 编辑 器 ”窗口 中 ， 双 击 “ 审 
核 策略 更 改 ” 策 略 ， 显 示 如 图 15.48 所 示 “ 审 核 策 略 更 改 属性 ”对 话 框 。 选 中 “成 功 ”或 者 
“失败 ” 复 选 框 ， 单 击 “ 确 定 ”按钮 ， 即 可 完成 策略 的 设置 。 


市 核 莱 略 更 改 属性 1x 


图 15.48 “审核 策略 更 改 属性 ”对 话 框 
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审核 策略 更 改 产生 的 安全 事件 中 ， 与 Windows 防火 墙 相关 的 事件 如 表 15.3 所 示 。 
表 15.3 与 Windows 防火 墙 相关 的 策略 更 改 事件 


事件 卫 消息 
4944 Windows 防火 墙 启动 时 下 列 策略 处 于 活动 
4945 Windows 防火 墙 启动 时 被 列 出 规则 
4946 Windows 防火 墙 例外 列表 已 被 进行 更 改 ， 添 加 规则 
4947 Windows 防火 墙 例外 列表 已 被 进行 更 改 ， 修 改 规则 
4948 Windows 防火 墙 例外 列表 已 被 进行 更 改 ， 删 除 规则 
4949 Windows 防火 墙 设置 已 还 原 到 默认 值 
4950 Windows 防火 墙 设置 已 经 更 改 
4951 规则 已 忽略 因为 通过 Windows 防火 墙 无 法 识别 其 主 版 本 号 
4952 由 于 通过 Windows 防火 墙 无 法 识别 其 次 要 版 本 号 部 分 规则 已 被 忽略 ， 将 强制 规则 的 其 
他 部 分 
4953 因为 无 法 解析 规则 ， 已 忽略 通过 Windows 防火 墙 
4954 Windows 防火 墙 组 策略 设置 已 更 改 ， 已 应 用 新 设置 
4956 Windows 防火 墙 已 更 改 活动 配置 文件 
4957 Windows 防火 墙 未 应 用 以 下 规则 
4958 由 于 规则 引用 此 计算 机 上 没有 配置 项 目 没有 Windows 防火 墙 采用 以 下 规则 


2. 审核 进程 跟踪 

在 “本 地 组 策略 编辑 器 ”窗口 中 ， 双 击 “ 审 核 过 程 跟踪 ” 策略， 显示 如 图 15.49 所 示 “ 审 
核 进程 跟踪 属性 ”对 话 框 。 根 据 需要 选中 “成 功 ”或 者 “失败 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 ， 
即 可 完成 策略 的 设置 。 


本 地 安全 设置 | 广 明 | 
| 进香 有 路 
唐 信 这些 归 作 : 
区 人 
万 类 网 中) 
外 以 符 代 着 术 入 只 由 扣 能 不 全 


CR |_snw | 
图 15.49 “审核 进程 跟踪 属性 ”对 话 框 
由 “审核 详细 跟踪 ”安全 策略 设置 所 生成 的 安全 事件 如 表 15.4 所 示 。 
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表 15.4 审核 进程 跟踪 事件 


事件 ID 消息 
4688 已 创建 一 个 新 进程 
4689 进程 已 退出 
4692 尝试 数据 保护 主 密 钥 备份 
4693 尝试 对 数据 保护 主 密 钥 恢复 
4694 尝试 保护 的 审计 保护 数据 
4695 尝试 未 保护 的 审计 保护 数据 
4696 主 令 牌 被 分 配给 处 理 
5712 试图 远程 过 程 调用 (RPC) 


3. 审核 系统 事件 

审核 系统 事件 中 包括 Windows 防火 墙 应 用 程序 的 工作 过 程 ， 如 启动 、 停 止 等 。 在 “本 地 
组 策略 编辑 器 ”窗口 中 ,双击 “审核 系统 事件 ”策略 ,显示 如 图 15.50 所 示 “ 审 核 系统 事件 属 
性 ”对 话 框 。 根 据 需 要 选中 “成 功 ”或 者 “失败 ” 复 选 框 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 完成 策略 
的 设置 。 


[CERTHTTS 了 
本 地 安全 设置 | 识 明 | 
好 两 楚 条 六 有 伯 


Cw ]_ ww | saw | 

图 15.50 “审核 系统 事件 属性 ”对 话 杠 

审核 策略 更 改 产 生 的 安全 事件 中 ， 与 Windows 防火 墙 相关 的 事件 如 表 15.5 所 示 。 
表 15.5 与 Windows 防火 墙 相关 的 系统 事件 


事件 刀 消息 
5024 Windows 防火 墙 服务 成 功 启动 
5025 Windows 防火 墙 服务 已 停止 
5027 Windows 防火 墙 服务 无 法 从 本 地 存储 器 检索 安全 策略 。 服 务 将 继续 强制 当前 策略 
5028 Windows 防火 墙 服务 无 法 分 析 新 安全 策略 。 服 务 将 继续 与 当前 实施 策略 
5029 Windows 防火 墙 服务 无 法 初始 化 驱动 程序 。 服 务 将 继续 以 强制 当前 策略 
5030 Windows 防火 墙 服务 无 法 启动 
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( 续 表 ) 
事件 D | 消息 
Windows 防火 墙 无 法 通知 用 户 它 阻止 应 用 程序 接受 传 入 连接 在 网 络 上 
Windows 防火 墙 驱 动 程序 成 功 启动 
5034 Windows 防火 墙 驱 动 程序 已 停止 
5035 | Windows 防火 墙 驱动 程序 无 法 启动 


5037 Windows 防火 墙 驱 动 程序 检测 到 关键 运行 错误 。 终 止 
15.5.2 查看 审核 功能 记录 


启用 审核 策略 后 , 即 可 通过 Windows Server 2008 系统 的 事件 查看 器 , 查看 和 管理 Windows 
防火 墙 工作 过 程 中 产生 的 安全 事件 。 事 件 日 志 中 记录 了 事件 发 生 的 时 间 、 事 件 来 源 、 用 户 帐 户 、 
操作 代码 及 了 解 详细 相关 信息 的 超级 链接 。 在 Windows Server 2008 系统 中 ， 事 件 日 志 详 细 信 
息 的 基础 结构 完全 符合 XML 架构 ， 而 且 可 以 访问 代表 指定 事件 的 XML 。 


0 1 依次 选择 “开始 ”一 “管理 工具 ”一 “事件 查看 “0 2 单 击 “ 事 件 1D” 标 签 ， 按 照 时 间 ID 排序 后 ， 找 
器 ”选项 ， 打 开 “ 事 件 查 看 器 ”窗口 ， 依 次 展开 “到 希望 查看 的 Windows 防火 墙 事 件 即 可 。 双 击 事件 
“Windows 日 志 ” 一 “安全 ”选项 ， 如 图 15.51 所 ”显示 如 图 15.52 所 示 “ 事 件 属性 - 事件 5024” 对 
示 。 系 统 默认 已 经 启动 “预览 窗 格 ” 功 能 ， 即 在 事件 ” 话 框 ， 在 “常规 ”选项 卡 中 ， 可 以 查看 该 事件 的 来 源 、 
列表 中 选择 时 间 后 ， 将 自动 显示 相应 预览 信息 。 类 型 、 级 别 、 时 间 等 信息 。 


图 15.51 “事件 查看 器 ”窗口 图 15.52 “事件 属性 ~ 事件 5024” 对 话 杠 


03 单 击 “ 详 细 信息 ”切换 至 如 图 15.53 所 示 “ 详 “04 选择 “XML 视图 ” 单 选 按钮 ， 即 可 以 XML 视 医 
细 信 息 ” 选 项 卡 ， 系 统 默认 是 以 “友好 视图 ”方式 ”方式 显示 事件 详细 信息 ， 如 图 15.54 所 示 。 
显示 的 。 
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图 15.53 友好 视图 
05 单 击 “关闭 ” 按钮， 关闭 “事件 属性 ”对 话 框 即 可 。 


15.5.3 ”筛选 Windows 防火 墙 事件 


启动 任何 一 项 审核 策略 都 会 产生 大 量 的 事件 日 志 ， 其 中 与 Windows 防火 墙 运行 相关 的 内 
容 并 不 多 。 通 过 筛选 相关 日 志 ， 可 以 快速 查看 需要 的 目标 事件 。 在 事件 筛选 器 中 ,用 户 可 以 指 
定 关 键 字 、 事 件 ID 、 事 件 来 源 等 筛选 信息 。 


01 在 “事件 查看 器 ”窗口 中 ， 依 次 展开 “Windows 日 志 ” 一 “安全 ”选项 。 在 “操作 ” 栏 中 单 击 “ 筛 先 
当前 日 志 ” 链 接 ， 显 示 如 图 15.55 所 示 “ 筛 选 当前 日 志 ” 对 话 框 。 例 如 按照 事件 ID 筛选 ， 在 “包括 / 排 
除 事件 ID” 文 本 框 中 ， 输 入 希望 查看 的 事件 ID 号 或 ID 范围 。 


图 15.55 “筛选 当前 日 志 ” 对 话 框 
提示 “如 果 要 查看 多 个 事件 ， 则 ID 号 之 间 必 须 以 去 号 分 隔 。 如 果 要 包括 一 个 范围 的 IJD， 
例如 5024 到 5033 (包括 53033) ， 可 以 输入 5024-5033。 如 果 希 望 筛选 器 显示 包括 
除 某 些 ID 以 外 所 有 ID 的 事件 ， 请 输入 这 些 排除 的 ID ， 前 面 加 一 个 减 号 。 例 如 ， 
若 要 包括 5024 和 5033 之 间 除 5032 以 外 的 所 有 ID, 则 可 以 输入 5024-5033,-5032。 
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2 单 击 “ 确 定 ” 按钮 ， 即 可 开始 筛选 。 完 成 后 ， 显 示 如 图 15.56 所 示 结果 。 直 接 在 “已 筛选 日 志 ” 列 表 中 ， 
双击 希望 查看 的 事件 日 志 即 可 。 


EECEOE7T 
和 中 | 考 顾 | 日 品 
大 [ms 
四 局 和 x 图 


国 ME 安全 | 
日 国 finiees 日 志 了 ”BN 这 6 志 Seauriy 来 源 ;事件 ID 5024.5033.5037 10 人 事件 
理 序 号 打开 人 的 昌 志 


| 了 emesXi 四 
5024 其 他 系统 事件 SAEXg 轩 


关上 事件 
日 民 应用 程序 和 服务 日 志 
EE 


同 Hh 
同 人 过手 浪 件 

宇和 :加 
加 可 


图 15.56 ”筛选 事件 日 志 
03 单 击 “清除 筛选 器 ”链接 ， 即 可 清除 当前 筛选 结果 ， 返 回 相应 的 事件 分 组 。 


15.5.4 配置 Windows 防火 墙 日 志文 件 


Windows 防火 墙 应 用 程序 本 身 在 运行 过 程 中 ， 也 会 产生 相应 的 日 志 ， 与 系统 事件 不 同 的 
是 , 这 些 日 志 主要 记录 运行 过 程 中 , 各 个 防火 墙 规则 的 变化 情况 ,并且 用 户 可 以 为 不 同 作用 域 
的 防火 墙 规则 ， 指 定 不 同 的 日 志文 件 。 需 要 注意 的 是 ， 该 日 志 默认 是 未 配置 的 ， 即 不 对 任何 规 
则 执行 情况 进行 记录 。 
01 打开 “高 级 安全 Windows 防火 墙 ” 窗口 ， 右 击 “ 本 地 计算 机 上 的 高 级 安全 Windows 防火 墙 属性 ”， 
显示 如 图 15.57 所 示 “ 本 地 计算 机 上 的 高 级 安全 Windows 防火 墙 属性 ”对 话 框 。 
0 2 在 “日 志 " 选项 区 域 中 单 击 “ 自 定义 ”按钮 ， 显 示 如 图 15.58 所 示 “ 自 定义 专用 配置 文件 的 日 志 设置 ” 
对 话 框 。 在 “名 称 ” 文 本 框 中 ， 显 示 的 是 日 志文 件 的 默认 保存 路 径 和 名 
称 : %Systemroot%\System32\LogFiles\Firewall\pfirewall.log。 在 “大 小 限制 ”文本 框 中 ， 可 以 自 定义 
日 志文 件 的 最 大 值 ， 以 确保 不 丢失 任何 信息 。 在 “记录 丢弃 的 数据 包 ” 和 “记录 成 功 的 连接 ”下 拉 列 表 
中 ， 均 选择 “是 ”选项 即 可 ， 系 统 默 认 选 择 “ 否 ”选项 ， 即 不 启用 日 志 。 
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本 地 计算 机 上 的 高 级 安全 Winders 防火 请 医 必 
时 文件 | 专用 职 和 文件 | 公 抽 本 要 文件 | Psee 设置 | 


省 定 桥 i 算 机 间接 到 并 企业 域 8 手 为 。 
WI 
Es 防火 志 杖 态 P) [启用 科大 ) 了 


入 站 连接 )， 手 止 让 ) 到 
出 让 连接 加 ): | 允许 屋 认 年 ) 到 


中 0 


自 定义 专用 配置 文件 的 日 志 设 村 


ee 
加 指定 用 于 好 难 解 衬 的 日 志 设置 。 自 定义 WW. 


世相 
A rm vi ne 
了 前 直 4 洗 细 信息 
| | 


图 1557 “本 地 计算 机 上 的 高 级 安全 Windows 防火 墙 属性 ”对 活 框 。 图 15.58 “ 自 定义 专用 配置 文件 的 日 志 设置 ” 对 话 杠 
3 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


在 “专用 配置 文件 ”和 “公用 配置 文件 ”选项 卡 中 ， 同 样 可 以 相应 作用 域 的 防火 墙 规 则 配 
置 日 志文 件 。 既 可 以 使 用 和 “ 域 配置 文件 ”相同 的 目标 日 志文 件 ， 也 可 以 重新 指定 。 为 了 便于 
查看 和 管理 ， 建 议 为 不 同 作 用 范围 的 防火 墙 规则 ， 指 定 不 同 的 日 志文 件 。 


小 结 


高 级 安全 Windows 防火 墙 是 Windows Server 2008 和 Windows Vista 系统 的 一 个 亮点 ， 本 
章 主要 介绍 了 基本 Windows 防火 墙 和 高 级 安全 Windows 防火 墙 的 配置 和 应 用 ， 包 括 开 启 或 关 
闭 防火 墙 、 设 置 例外 程序 、 发 布 应 用 服务 等 。 在 域 环境 中 ， 客 户 端 防火 墙 的 配置 不 当 ， 往 往 会 
影响 彼此 之 间 的 通信 ， 使 用 组 策略 统一 配置 客户 端 防火 墙 ， 无 疑 是 最 好 的 选择 。 高 级 安全 
Windows 防火 墙 集中 了 大 部 分 的 安全 配置 功能 ， 并 且 可 以 对 所 有 出 站 和 入 站 请 求 进行 双向 验 
证 。Windows Server 2003 系统 中 的 防火 墙 日 志和 ICMP 协议 设置 ， 已 经 被 转移 到 高 级 安全 
Windows 防火 墙 中 。 除 此 之 外 ,管理 员 可 以 通过 创建 IPSec 连接 安全 规则 ， 灵 活 控制 端 到 端的 
连接 安全 .为 了 便于 管理 员 掌握 防火 墙 规则 的 应 用 情况 ,建议 启用 并 配置 防火 墙 事件 审核 策略 ， 
生成 的 系统 事件 ， 可 以 在 Windows 事件 查看 器 中 查看 。 


习题 


1. 如 何 使 用 netsh advfirewall 工具 配置 Windows 防火 墙 ? 
2. 如 何 添加 组 策略 编辑 器 ? 

3. 使 用 IPSec， 如 何 确保 网 络 安全 ? 

4. 怎样 启用 配置 审核 功能 ? 
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实验 : 阻止 用 户 登 录 MSN 


实验 目的 
运用 组 策略 部 署 客户 端 Windows 防火 墙 ， 可 以 根据 需要 灵活 创建 防火 墙 规 则 。 
实验 内 容 


以 域 管理 员 帐 户 登录 到 域 控制 器 , 为 所 有 客户 端 创建 组 策略 , 编辑 高 级 安全 防火 墙 的 入 站 
规则 ， 禁 止 MSN 应 用 程序 访问 Intemet，MSN 使 用 的 默认 端口 是 1863。 


1. 以 域 管理 员 帐 户 登录 到 域 控制 器 ， 将 所 有 客户 端 计算 机 移动 到 新 创建 的 组 织 单位 中 。 
2. 创建 基于 新 建 组 织 单位 的 组 策略 。 

3. 打开 组 策略 管理 编辑 器 窗口 。 

4. 创建 入 站 规则 ， 规 则 内 容 为 禁止 所 有 客户 端 计算 机 的 UDP 1863 端口 访问 Intemet。 
5. 在 客户 端 计算 机 上 重新 登录 到 域 ， 刷 新 组 策略 ， 验 证 防火 墙 规则 是 否 生 效 。 
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Windows 网 络 访问 保护 


远程 访问 是 大 多 数 局 域 网 中 比较 常用 的 功能 之 一 , 由 于 不 安全 客户 端 远程 
拨 入 导致 的 网 络 瘫痪 故障 也 时 有 发 生 。Windows Server 2008 系统 的 网 络 访问 
保护 功能 , 可 以 通过 网 络 策略 服务 器 对 客户 端 拨 入 请 求 进行 身份 验证 和 健康 状 
态 评估 ,只 有 达到 网 络 健康 标准 的 客户 端 ， 才 人 允许 接 入 内 部 网 络 ， 未 达到 网 络 
标准 的 客户 端 , 可 以 通过 指定 的 修正 服务 器 修复 计算 机 的 状态 后 才 人 允许 接 入 内 
部 网 络 。 


本 章 导读 


四 NAP 简介 

轩 NPS 的 安装 

加 配置 IPSec 强制 
加 配置 DHCP 强制 
加 配置 VPN 强制 
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16.1 NAP 简介 


网 络 访问 保护 (Network Access Protection， 简 称 NAP) 是 Windows Server 2008 操作 系统 
中 内 置 的 策略 执行 平台 。 为 了 更 好 地 保护 网 络 安全 ，NAP 强制 计算 机 符合 系统 健康 要 求 ， 对 
不 符合 策略 要 求 的 用 户 进行 隔离 并 对 其 进行 帮助 提示 ， 直 至 符合 要 求 才能 正常 访问 网 络 。 


16.1.1 NAP 组 件 


启用 NAP 网 络 基础 结构 的 组 件 主要 包括 以 下 几 部 分 : 


@ NAP 客户 端 。 支 持 NAP 的 计算 机 有 Windows XP SP3、Windows Vista、Windows Server 
2008 操作 系统 的 计算 机 ; 

NAP 强制 点 。NAP 强制 点 是 指使 用 NAP 的 服务 器 和 网 络 设备 ， 使 网 络 策略 服务 器 
(Network Policy Server， 简 称 NPS) 作为 NAP 的 健康 策略 服务 器 来 评估 客户 端的 健康 
状态 ,从 而 判断 网 络 访问 或 通信 是 否 被 允许 ,以 及 不 符合 的 客户 端 执行 相应 的 修正 动作 ; 

@ NAP 健康 策略 服务 器 。NAP 健康 策略 服务 器 是 指 在 Windows Server 2008 的 计算 机 ， 以 
及 存储 健康 要 求 策略 和 提供 健康 状态 验证 的 NPS 服务 。NPS 代替 了 Internet 身份 验证 
服务 、RADIUS 服务 器 和 Windows Server 2003 提供 的 代理 。NPS 也 可 以 作为 网 络 访问 
的 身份 验证 、 授 权 和 记 账 (AAA) 服务 器 。 当 作为 AAA 服务 器 或 NAP 健康 策略 服务 
器 时 ，NPS 通常 为 网 络 访问 和 健康 要 求 策略 的 集中 配置 使 用 单独 的 服务 器 。NPS 访问 
也 可 以 运行 在 基于 Windows Server 2008 的 NAP 强制 点 上 ， 例 如 DHCP 服务 器 。 但 是 
在 这 些 配 置 中 ，NPS 服务 是 作为 RADIUS 代理 与 NAP 健康 策略 服务 器 交换 RADIUS 
消息 的 ; 

昌 健康 要 求 服务 器 。 为 NAP 健康 策略 服务 器 提供 当前 系统 健康 状态 的 计算 机 ; 

活动 目录 域 服务 。 存 储 帐户 证 书 和 组 策略 设置 的 Windows 目录 服务 。 虽 然 不 需要 健 
康 状态 验证 ,但 活动 目录 需要 IPsec 保护 通信 , 802.1X 验证 连接 , 以 及 远程 访问 VPN 
连接 ; 

受 限 网 络 。 将 不 满足 健康 要 求 策略 的 计算 机 放置 在 首先 的 网 络 中 , 并 通过 网 络 中 的 修正 
服务 器 ， 修 正 不 符合 健康 策略 要 求 的 方面 使 其 成 为 符合 要 求 的 健康 客户 端 ; 

@ 不 支持 NAP 的 计算 机 。 不 支持 NAP 的 计算 机 将 会 被 放置 在 受 限 的 网 络 中 。 


16.1.2 ”NAP 系统 工作 机 制 


网 络 访问 保护 主要 分 为 4 个 部 分 : 策略 验证 、 隔 离 、 补 救 和 持续 监控 。 
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1. 策略 验证 


策略 验证 是 指 NAP 根据 网 络 管理 员 定 义 的 一 系列 规则 ， 对 客户 端 计算 机 系统 状态 进行 评 
估 。NAP 在 计算 机 尝试 连接 到 网 络 时 会 使 用 安全 监控 程序 和 定义 的 策略 相 比 较 ， 符 合 这 些 策 
略 的 计算 机 视 为 良好 的 计算 机 , 而 不 符合 其 中 一 项 或 多 项 标准 的 计算 机 则 被 认为 是 状态 不 良 的 
计算 机 。 通 过 这 些 策略 可 以 检查 客户 端 计算 机 是 否 有 防 病毒 软件 ， 是 否 开启 防火 墙 ， 是 否 缺 少 
某 个 安全 补丁 等 。 

2. 隔离 

如 果 没 有 通过 验证 策略 ， 则 视 为 网 络 限制 ， 即 隔离 。 根 据 网 络 管理 员 定义 的 策略 ，NAP 
可 以 将 计算 机 的 网 络 连接 设置 为 各 种 状态 ， 例 如 一 台 计算 机 因 没 开启 防火 墙 而 视 为 状态 不 良 ， 
NAP 可 以 将 该 计算 机 置 于 隔离 网 络 中 ， 使 其 与 网 络 中 其 他 计算 机 隔绝 ， 直 至 恢复 健康 〈 开 启 
防火 墙 ) 为 止 。 

NAP 有 两 种 部 署 模式 ， 即 监控 模式 和 隔离 模式 。 在 监控 模式 下 ， 即 使 发 现 授权 用 户 计算 
机 不 符合 策略 ,也 可 以 访问 网 络 , 但 该 状况 会 被 记 入 日 志 , 管理 员 可 以 指导 用 户 如 何 让 计算 机 
符合 策略 。 在 隔离 模式 下 , 不 符合 策略 的 计算 机 只 能 有 限 访问 网 络 , 它们 可 以 在 该 网 络 上 找到 
符合 策略 的 资源 。 

3 补 才 

对 于 被 隔离 的 计算 机 ，NAP 提供 了 补救 策略 ， 即 被 隔离 的 计算 机 无 需 网 络 管理 员 干 预 即 
可 修复 影响 运行 状态 的 问题 。 受 限 网 络 允 许 状态 不 良 的 计算 机 访问 特定 的 网 络 资源 ， 例 如 
Windows Server Update Services 服务 器 。 在 没有 恢复 健康 之 前 , 不 能 访问 网 络 中 的 其 他 计算 机 。 

4 持续 监控 


强制 计算 机 在 与 网 络 保持 连接 期 间 , 始终 监控 这 些 可 保持 状态 良好 的 策略 。 如 果 计算 机 状 
态 与 策略 不 符 ,例如 禁用 了 Windows Update， 则 NAP 将 自动 开启 自动 更 新 ， 直 至 恢复 正常 状 
态 后 ， 才 可 以 访问 网 络 。 


16.1.3 ”强制 方式 


Windows XP SP3、Windows Vista 和 Windows Server 2008 中 的 NAP 支持 4 种 类 型 的 网 络 
访问 和 通信 : 

和 IPsec 保护 通讯 ; 

四 远程 访问 VPN 连接 ; 

里 IEEE8.2.1x 身份 验证 的 网 络 连接 ; 

和 DHCP 地 址 配置 。 


管理 员 可 以 使 用 这 些 类 型 的 网 络 访问 或 通信 (也 叫做 NAP 强制 方式 ) 来 独立 或 共同 限制 
不 符合 计算 机 的 访问 或 通信 。 
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1. IPsec 强制 


IPsec 强制 由 健康 证 书 服务 器 和 IPsecNAPEC 组 成 ， 当 确定 客户 端 复合 时 ， 健 康 证 书 服务 
器 颁发 X.509 证 书 隔离 它们 。 当 NAP 客户 端 与 Intranet 上 的 其 他 NAP 客户 端 通信 时 ， 使 用 这 
些 证 书 对 NAP 客户 端 进行 身份 验证 。 

IPsec 强制 将 网 络 上 的 通信 限制 为 被 认为 是 符合 的 那些 节点 , 原因 是 用 户 想 利用 IPsec, 为 
受 保护 的 通信 在 每 个 卫 或 每 个 TCP/UDP 端口 号 上 指定 要 求 。 成 功 连接 并 且 获 得 有 效 的 他 地 
址 配置 之 后 为 符合 的 计算 机 限制 通信 。IPsec 强制 是 NAP 中 限制 网 络 访问 的 最 强 形式 之 一 。 


2. 802.1X 强制 


802.1X 强制 由 NPS 服务 器 和 EAPHOSTNAPEC 组 件 组 成 。 使 用 802.1X 强制 ，NPS 服务 
器 知道 802.1 访问 点 (以 太 网 交换 机 或 无 线 访问 点 ) 在 802.1X 客户 端 上 放置 受 限制 的 访问 配 
置 文件 ， 直 到 它 执行 一 组 修正 功能 为 止 。 受 限制 的 访问 配置 文件 可 以 由 一 组 IP 数据 包 筛 选 器 
或 虚拟 LAN(VLAN) 标 识 符 组 成 ， 用 于 限制 802.1X 客户 端的 通信 。802.1X 强制 为 通过 802.1X 
连接 访问 网 络 的 所 有 计算 机 的 网 络 访问 提供 比较 强 的 限制 。 


3. VPN 强制 


VPN 强制 组 件 包 括 Windows Server 2008 中 的 NPS 和 Windows XP SP3、Windows Vista 和 
Windows Server 2008 远程 访问 客户 端 上 的 VPN 强制 客户 端 。 

使 用 VPN 强制 ，VPN 服务 器 可 以 在 计算 机 尝试 对 网 络 进行 VPN 连接 时 强制 健康 策略 要 
求 。VPN 强制 通过 VPN 连接 访问 网 络 的 所 有 计算 机 的 网 络 访问 提供 比较 强 的 限制 。VPN 强 
制 为 所 有 通过 远程 访问 VPN 连接 访问 网 络 的 计算 机 ， 提 供 了 有 效 的 受 限 网 络 访问 。 

4. DHCP 强制 


DHCP 强制 组 件 包括 Windows Server 2008 DHCP 服务 器 中 的 DHCP ES 和 Windows XP 
SP3、Windows Vista 和 Windows Server 2008 DHCP 客户 端 中 的 DHCP EC。 

使 用 DHCP 强制 ，DHCP 服务 器 可 以 在 计算 机 尝试 租用 或 续 订 网 络 上 的 他 地 址 配置 时 强 
制 健康 策略 要 求 。DHCP 强制 是 最 简单 的 部 署 强制 ， 因 为 所 有 DHCP 客户 端 计算 机 必须 租用 
卫 地 址 ， 管 理 员 可 以 任意 修改 ， 所 以 DHCP 强制 是 NAP 中 受 限 网 络 访问 中 最 弱 的 形式 。 


注意 NAP 的 作用 只 是 用 来 检查 将 要 连接 网 络 的 计算 机 是 否 具备 完备 的 安全 补丁 ， 是 否 
C9 有 安全 配置 方面 的 错误 等 ,以 此 提升 计算 机 网 络 的 安全 性 , 不 能 取代 系统 内 的 安全 
软件 。 


16.1.4 ”NAP 的 应 用 环境 


网 络 内 部 安全 已 经 成 为 网 络 安全 的 重点 ， 用 户 水 平 参差 不 齐 ， 使 用 习惯 各 不 相同 。 例 如 ， 
如 果 网 络 中 没有 安装 软件 更 新 或 者 防 病毒 软件 的 客户 端 , 很 可 能 导致 整个 网 络 遭 受 攻击 。NAP 
可 以 很 好 地 解决 这 一 难题 ， 通 常情 况 下 ， 它 可 以 应 用 于 如 下 保护 环境 。 
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1. 保护 漫游 计算 机 的 健康 

网 络 中 应 用 笔记 本 移动 办 公 的 用 户 越 来 越 多 , 例如 需要 经 常 携带 笔记 本 出 差 的 用 户 , 笔记 
本 需要 经 常 连接 不 安全 的 外 部 网 络 , 没有 安装 更 新 补丁 , 没有 更 新 病毒 库 , 或 者 已 经 感染 病毒 ， 
一 旦 连接 到 公司 网 络 ， 需 要 进行 安全 检查 。 


2. 保护 桌面 计算 机 的 健康 


网 络 中 相对 比较 固定 的 工作 站 , 虽然 受到 网 络 防 火 墙 的 保护 和 安全 策略 限制 , 但 是 由 于 经 
常 接 入 Intemet、 连 接 移动 设备 、 收 发 电子 邮件 等 ， 也 可 能 存在 一 定 的 安全 隐患 ， 有 必要 接受 
补丁 包 获得 更 新 ， 更 新 病毒 库 。 


3. 保护 来 访 用 户 计算 机 的 健康 


有 时 候 来 访 用 户 的 计算 机 需要 连接 到 内 部 网 络 ,但 是 很 难保 证 这 些 计算 机 符合 网 络 内 部 的 
安全 策略 ， 如 果 强行 接 入 网 络 ， 可 能 会 有 安全 威胁 。 此 时 ， 可 以 通过 网 络 访问 保护 功能 在 技术 
层面 进行 访问 限制 。 当 客户 计算 机 连 入 内 部 网 络 之 后 ，NAP 可 以 将 客户 计算 机 重 定向 到 一 个 
隔离 的 网 段 、 会 自动 连接 到 修正 服务 器 , 对 客户 计算 机 实施 制定 的 安全 策略 , 例如 进行 自动 更 
新 、 修复 漏洞 等 , 在 修复 安全 之 后 , 客户 计算 机 可 以 自动 连接 到 内 部 网 络 , 以 上 操作 自动 完成 ， 
不 耽误 业务 的 进展 。 

4. 保护 家 庭 计算 机 的 健康 

网 络 中 的 用 户 有 时 候 会 将 工作 带 到 家 中 处 理 ， 需 要 通过 VPN 等 方式 将 家 中 的 计算 机 连接 
到 公司 内 部 网 络 访问 资源 , 此 时 家 中 的 计算 机 有 可 能 对 公司 内 部 网 络 造成 安全 威胁 。 使 用 NAP 
功能 可 以 设置 检查 家 庭 计算 机 ， 可 以 将 连接 入 的 家 庭 计算 机 限制 到 隔离 网 段 ， 进 行 健康 修复 
直到 安全 为 止 。 


16.1.5 部 署 NAP 的 意义 


计算 机 网 络 安全 的 防范 应 该 是 全 方位 的 , 网 关 、 防火墙 可 以 阻止 病毒 入 侵 网 络 , 访问 权限 
控制 可 以 阻止 用 户 越权 访问 , 这 些 都 是 针对 已 经 发 生 的 网 络 安 全 事件 而 言 的 。 网 络 访问 安全 防 
护 则 主要 用 于 评估 远程 用 户 系统 的 健康 程度 , 是 否 符合 健康 策略 要 求 , 是 一 种 防 患 于 未 然 的 防 
护 方式 。NAP 系统 可 以 有 效 防止 恶意 软件 、 病 毒 等 在 网 络 中 的 传播 。 


1. 恶意 软件 及 其 对 企业 计算 机 的 影响 

用 户 对 恶意 软件 并 不 陌生 ， 如 间谍 软件 、 木 马 程序 、 广 告 软件 等 。 通 常情 况 下 ， 恶 意 软件 
并 不 会 直接 破坏 系统 数据 或 用 户 信息 , 而 是 向 其 服务 器 端 发 送 计算 机 活动 报告 , 以 便于 恶意 用 
户 对 计算 机 的 远程 控制 。Intermet 是 一 个 开放 性 极 高 的 环境 ， 一 台 安 全 性 不 高 的 计算 机 可 能 会 
在 几 分 钟 之 内 被 地 址 和 端口 扫描 软件 入 侵 。 
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(1) 恶意 软件 如 何 进入 企业 网 络 


通常 企业 网 络 环境 都 不 是 直接 连接 到 Internet 上 的 ， 只 有 部 分 计算 机 直接 连接 到 Internet， 
为 客户 或 商业 伙伴 提供 Intermet 服务 。 大 部 分 的 计算 机 和 Internet 之 间 被 防火 墙 和 代理 服务 器 
等 边界 系统 隔离 。 所 以 企业 网 络 中 的 计算 机 通常 不 会 被 来 自 Internet 的 病毒 扫描 攻击 ， 但 是 对 
防火 墙 或 代理 服务 器 提供 的 边界 安全 ， 会 面 对 如 下 问题 : 

a 通过 在 计算 机 上 执行 基于 特洛伊 木马 的 病毒 : 企业 网 络 中 的 用 户 可 能 在 不 经 意 间 就 从 
E-mail、Web 页 面 或 Intemet 上 下 载 的 其 他 类 型 的 文件 中 就 感染 了 病毒 。 其 中 ，E-mail 
附件 是 传播 特洛伊 木马 病毒 最 常见 的 方式 ，Web 页 面 是 另外 一 种 常见 的 方式 ; 

四 移动 和 连接 其 他 网 络 的 移动 计算 机 : 移动 计算 机 典型 代表 是 便携 式 计算 机 , 即 通常 所 说 
的 笔记 本 电脑 。 用 户 将 便携 式 计算 机 带 到 家 里 、 商 业 旅 途中 或 其 他 具有 无 线 热 点 的 公共 
场所 中 。 每 次 用 户 都 可 以 将 便携 式 计算 机 连接 到 非 企业 网 络 上 ,此 时 , 便携 式 计算 机 都 

可 能 受到 网 络 级 病毒 的 攻击 ; 

和 职员 远程 访问 : 当 职 员 使 用 远程 访问 连接 企业 网 络 时 , 理论 上 如 同 在 职员 所 在 地 到 企业 

网 络 端口 之 间 有 以 太 网 线路 一 样 。 通过 远 辑 连接 , 企业 网 络 可 能 会 受到 网 络 级 病毒 的 攻 
击 ; 

mm 来宾 计算 机 : 当 企业 的 来 宾 (如 顾问 、 提供 商 或 商业 伙伴 ) 使 用 计算 机 连接 企业 网 络 时 ， 
他 们 所 使 用 的 计算 机 之 前 可 能 已 经 受到 网 络 级 病毒 的 攻击 。 


(2) 恶意 软件 的 影响 


对 于 Intemet 和 专 有 网 络 来 说 ， 恶 意 软件 可 能 会 带 来 直接 的 经 济 影响 ， 例 如 ， 机 密 信息 的 
泄露 、 知 识 产权 的 丢失 、 带 宽 的 浪费 、 计 算 机 行为 的 不 可 用 ， 以 及 为 了 从 所 有 感染 的 计算 机 上 
移 除 恶意 软件 所 花费 的 时 间 等 。 


2. 恶意 软件 防护 技术 


为 了 防止 恶意 软件 的 传播 ，IT 企业 开始 防止 未 来 病毒 的 感染 。 从 而 出 现 了 一 系列 的 恶意 
软件 防护 技术 以 及 从 事 该 工作 的 很 多 企业 和 用 户 。 恶 意 软件 防护 程序 是 用 来 防止 恶意 软件 安装 
和 传播 的 。 恶 意 软件 防护 程序 具有 如 下 形式 : 


杀毒 软件 : 在 文件 复制 或 下 载 时 监视 已 知 的 恶意 软件 。 杀毒 软件 通常 使 用 本 地 病毒 库 来 

识别 E-mail 和 文件 中 的 恶意 软件 。 如 果 恶 意 软件 被 检测 到 ， 杀 毒 软件 将 会 移 除 恶 意 软 

件 或 者 阻止 文件 被 存储 或 执行 。 因 为 会 不 停 的 有 新 型 的 病毒 被 创建 ， 所 以 杀毒 软件 的 病 

毒 库 需 要 定期 更 新 ; 

垃圾 邮件 过 滤 : 用 来 阻止 不 需要 的 E-mail 消息 存储 到 E-mail 邮箱 的 软件 。 垃 圾 邮件 是 

一 种 传播 病毒 或 间谍 软件 常用 的 方式 ; 

下 反 间 谍 软 件 : 从 计算 机 上 检测 和 移 除 已 知 间谍 软件 和 广告 软件 的 软件 。 如 同 杀毒 软件 一 
样 ， 反 间谍 软件 必须 定期 更 新 ， 使 其 可 以 阻止 最 新 的 间谍 软件 的 安装 。 例 如 ，Windows 
Vista 中 的 Windows defender 就 是 一 款 反 间谍 软件 。 


除了 恶意 软件 防护 软件 之 外 ， 下 列 技术 也 可 以 防止 恶意 软件 : 
至 Windows 计算 机 的 自动 更 新 : 对 于 运行 Windows 的 计算 机 ， 一 些 类 型 的 病毒 会 针对 系 
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统 安全 隐患 进 行 攻击 , 所 以 安全 更 新 是 很 有 必要 的 。 病 毒 会 尝试 攻击 没有 进行 更 新 的 计 
算 机 。 为 了 在 病毒 编写 者 写 出 恶意 软件 并 传播 之 前 进行 自动 安全 更 新 , 微软 会 在 发 现 尘 
洞 的 第 一 时 间 开 发 并 发 布 补丁 程序 ， 供 用 户 下 载 和 安装 。 根 据 用 户 制定 的 计划 ， 运 行 
Windows Vista、Windows Server 2008、Windows XP 或 Windows Server 2003 的 计算 机 ， 
可 以 获取 Windows 更 新 Web 页 面 和 下 载 最 新 的 安全 更 新 ， 并 自动 进行 安装 。Windows 
更 新 降低 了 IT 管理 者 为 了 保持 计算 机 更 新 始终 最 新 的 负担 ; 
基于 主机 的 全 状态 防火 墙 : 基于 主机 的 全 状态 防火 墙 运 行 在 计算 机 上 , 监视 网 络 通信 的 
数据 包 , 阻止 计算 机 发 送 或 接收 恶意 通信 。 一 些 病毒 会 通过 扫描 本 地 子 网 可 用 计算 机 来 
尝试 自动 复制 , 然后 攻击 找到 的 计算 机 。 如 果 成 功 , 那么 病毒 将 会 从 一 台 计 算 机 复制 到 
另外 一 台 。 如 果 一 台 受 感染 的 计算 机 迁移 ， 那 么 病毒 就 开始 攻击 新 的 子 网 中 的 计算 机 。 
例如 ， 当 便携 式 计算 机 在 家 庭 网 络 受 到 感染 , 病毒 将 会 被 携带 到 企业 的 专 有 网 络 。 基 于 
主机 的 全 状态 防火 墙 ， 如 Windows Vista、Windows Server 2008、Windows XP SP2 和 
Windows Server 2003 SP1 或 SP2, 将 会 丢弃 所 有 不 符合 计算 机 请 求 回复 的 入 站 通信 ,或 
被 允许 的 主动 提供 的 通信 。 例 如 ， 符 合用 户 或 计算 机 的 Web 页 面 请 求 的 通信 就 是 请 求 
入 站 通信 。 由 于 计算 机 运行 服务 器 服务 而 被 允许 ,并 且 必 须 接收 主动 提供 的 请 求 , 就 是 
例外 通信 的 例子 。 因 为 通常 的 基于 网 络 的 病毒 依靠 主动 提供 的 入 站 通信 来 进行 传播 和 攻 
击 计算 机 ， 启 用 连接 到 Intemet 和 内 网 的 计算 机 上 的 基于 主机 的 全 状态 防火 墙 ， 可 以 阻 
止 这 种 类 型 病毒 的 传播 。 
为 了 防止 恶意 软件 进入 和 草 延 在 企业 网 络 中 ， 管 理 员 需 要 确保 如 下 工作 : 
确保 用 户主 机 计算 机 正在 使 用 当前 权限 级 别 的 网 络 服务 和 用 户 帐户 。 通 过 降低 用 户 的 权 
限 级 别 ， 可 以 有 效 的 阻止 恶意 软件 安装 在 主机 计算 机 上 。 例 如 ， 运 行 Windows Vista 的 
计算 机 使 用 用 户 帐户 控制 (UAC) 来 降低 被 攻击 的 危险 性 ; 
使 用 恶意 软件 防护 软件 ， 定 期 进行 更 新 ; 
昌 启用 自动 更 新 ， 当 Windows 升级 包 可 用 时 立即 安装 。 企 业 网 络 也 可 以 通过 中 央 服 务 器 
(如 Windows 服务 器 更 新 服务 ) 来 配置 更 新 服务 ; 
使 用 基于 主机 的 全 状态 防火 墙 ， 如 Windows 防火 墙 ， 来 阻止 网 络 级 病毒 的 入 侵 。 


3. 计算 机 系统 健康 和 监视 


恶意 软件 防护 技术 的 使 用 为 IT 管理 员 带 来 了 新 的 问题 ， 即 确定 和 监视 内 网 中 的 计算 机 系 
统 健康 。 该 系统 健康 由 计算 机 当前 的 配置 状态 定义 , 包括 一 系列 的 恶意 软件 防护 技术 、 及 其 当 
前 状态 和 其 他 配置 设置 。 


(1 ) 确定 系统 健康 要 求 


系统 健康 的 定义 会 根据 企业 安装 的 恶意 软件 防护 技术 、 计 算 机 配置 和 其 他 安全 需求 而 改 
变 。 为 了 设置 系统 健康 需要 的 参数 ， 管 理 员 需 要 注意 如 下 问题 : 
杀毒 软件 
> 在 整个 企业 网 络 的 所 有 计算 机 上 均 安 装 防毒 程序 ; 
> 当前 计算 机 的 防毒 签名 文件 或 其 他 更 新 需要 考虑 健康 问题 。 
于 垃 报 邮 件 过 滤 软 件 
> 在 整个 企业 网 络 中 安装 垃圾 邮件 过 滤 软 件 ; 
> 当前 计算 机 的 垃圾 邮件 过 滤 更 新 需要 考虑 健康 问题 。 
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于 反 间 谍 软 件 
> 反 间 谍 软 件 遍及 整个 企业 网 络 ; 
> 当前 计算 机 的 反 间 谍 更 新 需要 考虑 健康 问题 。 
@ 操作 系统 自动 更 新 
> 在 整个 企业 网 络 启动 Windows 自动 更 新 ; 
> 对 于 考虑 健康 状况 的 计算 机 启用 自动 更 新 ; 
> 当前 计算 机 安装 的 更 新 需要 考虑 健康 问题 。 
里 基于 主机 的 全 状态 防火 墙 
> 在 整个 企业 网 络 启用 基于 主机 的 全 状态 防火 墙 ; 
> 对 于 考虑 健康 状况 的 计算 机 必须 启用 防火 墙 的 问题 。 对 于 考虑 健康 状况 的 计算 机 
需要 配置 的 例外 。 
里 其 他 配置 设置 
> 根据 企业 安全 策略 需要 其 他 配置 设置 ; 
> 对 于 考虑 健康 状况 的 计算 机 需要 的 设置 。 


例如 ， 管 理 员 可 以 创建 系统 健康 策略 ， 要 求 所 有 计算 机 必须 满足 如 下 条 件 : 


里 所 有 操作 系统 更 新 必须 在 指定 日 期 进行 安装 ; 

里 必须 安装 杀毒 软件 ， 并 运行 其 监视 入 站 和 出 站 文件 ; 

里 杀毒 软件 必须 安装 最 新 版 本 的 病毒 库 ; 

里 必须 安装 垃 报 邮 件 过 滤 软 件 ， 并 用 其 监视 入 站 的 E-mail 消息 ; 
里 垃 拟 邮件 过 滤 软 件 必须 安装 最 新 的 更 新 ; 

里 安装 并 启用 基于 主机 的 全 状态 防火 墙 ; 

日 基于 主机 的 防火 墙 必 须 拥有 一 个 授权 的 排除 列表 ; 

计算 机 上 的 TCP/IP 协议 栈 必须 禁用 卫 路 由 ; 

里 计算 机 上 的 TCP/IP 协议 栈 必须 启用 自动 配额 制 。 


需要 注意 的 是 , 管理 员 面 对 的 最 大 问题 不 是 为 系统 健康 设置 要 求 , 而 是 保证 企业 网 络 中 的 
所 有 计算 机 满足 这 些 要 求 ， 以 及 为 不 满足 要 求 的 计算 机 执行 强制 机 制 。 


(2 ) 强制 系统 健康 要 求 


确定 系统 健康 是 否 满足 企业 网 络 中 计算 机 的 强制 系统 健康 要 求 。 换 句 话说 , 如 果 企业 网 络 
中 的 计算 机 不 满足 系统 健康 的 要 求 , 就 会 存在 问题 。 例如 可 以 设置 不 符合 系统 健康 要 求 的 计算 
机 禁止 与 网 络 中 的 其 他 计算 机 进行 通信 。 

尽管 大 部 分 的 恶意 软件 防护 软件 都 拥有 自己 的 保持 更 新 的 机 制 ， 但 却 没有 系统 健康 要 求 的 强 
制 机 制 。 例如 如 果 杀 毒 程序 没有 进行 最 近 的 更 新 ， 那么 对 于 计算 机 和 计算 机 用 户 来 说 就 没有 保障 。 

为 了 确保 系统 健康 可 强制 , 在 局 域 网 中 必须 拥有 一 台中 央 计 算 机 来 评价 系统 健康 , 而 且 对 
其 使 用 企业 的 系统 健康 要 求 进 行 配置 .网 络 中 尝试 连接 通信 的 客户 端 计算 机 必须 拥有 自己 的 健 
康 评估 , 以 便 可 以 检测 到 不 符合 的 计算 机 。 中 央 系 统 健康 评估 计算 机 必须 对 不 符合 的 计算 机 采 
取 措 施 。 对 于 不 符合 的 计算 机 的 常见 的 措施 是 拒绝 其 连接 网 络 , 但 是 这 种 极端 的 措施 不 会 为 不 
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符合 的 计算 机 提供 更 正 其 配置 状态 的 机 会 。 

与 阻止 所 有 内 网 的 访问 相 比 , 更 好 的 允许 不 符合 的 计算 机 更 正 状态 的 解决 方案 , 是 允许 对 
包含 所 需 更 新 、 软件、 脚本 或 其 它 资 源 的 内 网 服务 器 的 子 网 进行 受 限 访问 。 例 如 在 受 限 访问 四 
辑 网 络 上 的 服务 器 包括 杀毒 或 软件 更 新 服务 器 通过 使 用 评估 系统 健康 的 中 央 计算 机 上 的 资源 
和 基础 结构 ， 不 符合 的 计算 机 可 以 自动 更 正 其 配置 。 


16.2 部 署 NAP 的 准备 工作 


在 部 署 网 络 访问 保护 (NAP) 之 前 ， 需 要 进行 一 些 准备 工作 ， 包 括 评价 当前 的 网 络 基础 结构 
和 配置 独立 于 NAP 强制 方式 的 NAP 组 件 的 设计 ,在 正式 进行 部 署 前 ,需要 用 户 理解 基于 Windows 
的 身份 验证 基础 结构 的 活动 目录 的 角色 、PKI、 组 策略 和 RADIUS 和 NAP 组 件 和 NAP 强制 方式 。 


16.2.1 评价 当前 网 络 基础 结构 


在 开始 NAP 配置 之 前 ， 需 要 详细 记录 和 评价 当前 网 络 基础 结构 ， 以 保证 其 需要 的 主机 和 
访问 服务 器 ， 以 及 保证 其 满足 支持 NAP 的 要 求 。 当 前 网 络 基础 结构 的 评价 可 以 分 为 内 网 计算 
机 、 附 属 内 网 的 第 2 层 和 网 络 支持 基础 结构 。 

1. 内 网 计算 机 

内 网 计算 机 可 以 分 为 NAP 客户 端的 候选 对 象 和 不 支持 NAP 的 客户 端 ， 也 可 以 被 分 为 可 
管理 和 不 可 管理 两 种 。 

(1) 可 管理 的 计算 机 

可 管理 的 计算 机 主要 分 为 以 下 两 种 方式 。 

昌 支持 NAP: 包括 运行 Windows Vista、Windows XP SP3 或 Windows Server 2008 的 计算 
机 ， 以 及 使 用 NAP 客户 端的 其 他 操作 系统 ; 

不 支持 NAP: 包括 运行 不 含有 NAP 客户 端的 操作 系统 的 计算 机 。 

802.1X 和 VPN 的 NAP 强制 方式 不 需要 为 健康 评估 管理 计算 机 ， 但 是 身份 验证 和 授权 计 
算 机 则 需要 被 管理 。 对 于 IPSec 的 NAP 强制 方式 ， 计 算 机 可 以 不 被 管理 ， 但 推荐 其 接受 管理 。 

(2 ) 不 可 管理 的 计算 机 

不 可 管理 的 计算 机 可 以 分 为 以 下 两 种 方式 : 

自 支持 NAP: 包括 运行 Windows Vista、Windows XP SP3 或 Windows Server 2008 的 计算 
机 ， 以 及 使 用 NAP 客户 端的 其 它 操作 系统 ; 

昌 不 支持 NAP: 包括 运行 不 含有 NAP 客户 端的 操作 系统 的 计算 机 。 
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2. 附属 内 网 的 第 2 层 
另外 一 种 计算 机 的 分 类 是 通过 附属 内 网 的 第 2 层 方式 。 对 于 有 线 连接 内 网 的 计算 机 , 对 桌 


面 用 户 和 服务 器 计算 机 ， 最 常用 的 计算 机 分 类 如 下 : 


a 使 用 IEEE 802.1X 身份 验证 : 使 用 IEEE 802.1X 身份 验证 鉴别 计算 机 交换 端口 的 使 用 。 
如 果 用 户 想 要 使 用 802.1X 强制 方式 , 需要 确保 启用 802.1X 的 计算 机 使 用 基于 PEAP 身 
份 验证 方式 ,例如 PEAP- MS-CHAP v2 或 者 PEAP-TLS。 因 为 系统 健康 信息 是 使 用 PEAP 
消息 在 有 线 NAP 客户 端 和 NAP 健康 策略 服务 器 上 传输 的 ,所 以 需要 基于 PEAP 的 身份 
验证 方式 。 如 果 启 用 802.1X 的 计算 机 使 用 EAP-MD5-CHAP， 需 要 配置 其 使 用 PEAP- 
MS-CHAP v2。 如 果 启 用 802.1X 的 计算 机 使 用 EAP-TLS, 需要 配置 其 使 用 PEAP-TLS; 

不 使 用 802.1X 身份 验证 : 如 果 用 户 想 要 使 用 802.1X 强制 方式 ， 必 须 使 用 PEAP- 
MS-CHAP v2 或 者 PEAP-TLS 身份 验证 方式 配置 802.1X 身份 验证 。 


对 于 使 用 IEEE 802.11 无 线 方式 连接 内 网 的 计算 机 ， 最 常用 的 计算 机 分 类 如 下 : 


使 用 IEEE 802.1X 身份 验证 : 使 用 WPA2- 企 业 或 WPA- 企 业 和 IEEE 802.1X 标准 来 认证 
无 线 访问 点 的 无 线 连接 的 使 用 。 如 果 用 户 想 要 使 用 802.1X 强制 方式 ,确保 使 用 802.1X 
的 无 线 客户 端 计算 机 使 用 基于 PEAP 身份 验证 方式 ， 例 如 PEAP- MS-CHAP v2 或 者 
PEAP-TLS。 因 为 系统 健康 信息 是 使 用 PEAP 消息 在 无 线 NAP 客户 端 和 NAP 健康 策略 
服务 器 上 传输 的 ,所 以 需要 基于 PEAP 的 身份 验证 方式 。 如 果 无 线 客户 端 使 用 EAP-TLS， 
则 需要 配置 其 使 用 PEAP-TLS; 

不 使 用 802.1X 身份 验证 : 如 果 用 户 没 有 使 用 WPA2- 企 业 或 WPA- 企 业 的 802.1X 身份 验 
证 ,立即 更 新 无 线 网 络 来 保护 内 网 ， 无 论 是 否 想 使 用 802.1X 强制 方式 。 如 果 用 户 想 要 
为 无 线 连 接 使 用 802.1X 强制 方式 ， 那么 使 用 基于 PEAP- MS-CHAP v2 或 者 PEAP-TLS 
身份 验证 方式 的 WPA2- 企 业 或 WPA- 企 业 。 


对 于 使 用 远程 连接 内 网 的 计算 机 , 常用 形式 有 便携 式 计算 机 从 家 庭 中 进行 连接 , 用 户 可 以 


根据 远程 访问 连接 是 拨号 或 VPN 连接 进行 分 类 。 由 于 局 域 网 高 速 连接 的 优点 , 使 其 发 展 迅速 ， 
对 于 不 符合 的 计算 机 远程 访问 连接 不 服从 于 NAP 健康 评估 和 受 限 访问 的 强制 。 VPN 强制 方式 
不 包含 拨号 远程 访问 连接 。 如 果 用 户 想 要 确定 所 有 连接 到 内 网 的 第 二 层 连接 是 否 服从 NAP 健 
康 评估 ， 需要 淘汰 拨号 远程 访问 连接 。 如 果 不 能 彻底 消除 拨号 远程 访问 连接 ,可 以 尝试 限制 拨 
号 远程 访问 ， 来 降低 来 自 不 符合 计算 机 对 内 网 的 威胁 。 

如 果 想 要 使 用 VPN 强制 方式 ， 确 保 VPN 客户 端 计算 机 正 使 用 基于 PEAP 身份 验证 方式 ， 
例如 PEAP- MS-CHAP v2 或 者 PEAP-TLS。 因 为 系统 健康 信息 是 使 用 PEAP 消息 在 VPN 客户 


端 和 NAP 健康 策 


阁 服 务 器 上 传输 的 ， 所 以 需要 基于 PEAP 的 身份 验证 方式 。 


3. 网 络 支持 基础 结构 
网 络 支 持 基础 结构 是 一 项 在 局 域 网 启用 网 络 的 服务 ， 具 体内 容 包 括 如 下 : 


m DHCP: 如 


果 想 要 在 基于 Windows 的 DHCP 服务 器 上 使 用 DHCP 强制 方式 ， 必 须 更 新 


DHCP 服务 器 到 Windows Server 2008; 
@ DNS: 根据 如 何 为 不 符合 的 计算 机 执行 受 限 访问 ， 可 能 需要 其 他 DNS 服务 器 ; 
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16. 


到 WINS: 根据 如 何 为 不 符合 的 计算 机 执行 受 限 访问 ， 可 能 需要 其 他 WINS 服务 器 ; 

四 活动 目录 : 活动 目录 域 控制 器 不 需要 更 新 到 Windows Server 2008。 但 根据 如 何 执行 受 
限 访问 ， 可 能 需要 其 他 活动 目录 域 控制 器 。 如 果 用 户 的 域 控制 器 运行 的 是 Windows 
Server 2008， 应 该 为 不 符合 的 客户 端 使 用 只 读 域 控制 器 (RODC) 。RODC 是 Windows 
Server 2008 中 的 一 种 新 型 的 域 控制 器 ， 可 以 配置 于 不 能 保障 物理 安全 的 位 置 。RODC 
寄宿 在 活动 目录 数据 库 的 只 读 部 门 ; 

四 组 策略 : 组 策略 对 象 GPO) 可 用 于 集中 配置 和 传播 NAP 客户 端 设置 到 可 管理 的 计算 
机 。 用 户 不 需要 使 用 Windows Server 2008 的 域 控制 器 。 如 果 所 有 域 控制 器 运行 的 都 是 
Windows Server 2003, 则 必须 在 运行 Windows Vista 或 Windows Server 2008 的 计算 机 的 
GPO 上 配置 NAP 客户 端 策略 设置 ; 

mm IPSec: 如 果 用 户 想 要 使 用 IPSec 强制 ， 用 户 必须 使 用 连接 安全 规则 的 形式 更 新 IPSec 
策略 设置 ,在 活动 目录 GPO 的 IPSec 身份 验证 过 程 中 使 用 健康 证 书 。 借 助 于 NAP 客户 
端的 设置 ， 则 不 需要 使 用 基于 Windows Server 2008 的 域 控制 器 。 如 果 所 有 域 控制 器 都 
运行 的 是 Windows Server 2003， 则 必须 在 运行 Windows Vista 或 Windows Server 2008 
的 计算 机 的 GPO 上 配置 IPSec 策略 设置 ; 

mm PKI: 如 果 想 要 使 用 IPSec 强制 ， 则 必须 配置 PKI 或 修改 现 有 的 PKI， 使 其 包含 基于 
Windows 的 健康 证 书 颁发 结构 CA; 

mm VPN: 如 果 用 户 想 要 使 用 基于 Windows 的 VPN 服务 器 的 VPN 强制 ， 则 必须 更 新 VPN 
服务 器 到 Windows Server 2008; 

里 RADIUS: 如 果 用 户 没 有 RADIUS 基础 结构 ,必须 配置 基于 Windows Server 2008 的 RADIUS 
服务 器 使 用 NAP 强制 方式 中 任意 一 种 。 如 果 用 户 拥有 RADIUS 基础 结构 ， 用 户 必须 更 新 
RADIUS 服务 器 到 Windows Server 2008 ,为 NAP 健 康 策 略 评估 使 用 网 络 策略 服务 器 (NPS ) 。 


2.2 ”相关 服务 组 件 的 安装 


不 同类 型 的 NAP 强制 ， 所 需 的 网 络 组 件 有 所 不 同 ， 不 仅 需要 相应 的 服务 器 角色 ， 还 需要 


提供 辅助 验证 工作 的 组 件 ， 如 证 书 服务 器 、 域 控制 器 等 。 通 常情 况 ， 在 网 络 中 应 用 NAP 强制 
之 前 ， 首 先 需要 安装 或 配置 相应 的 服务 器 角色 ， 然 后 准备 所 需 的 网 络 环境 。 


1. 域 控制 器 
域 控制 器 的 主要 功能 就 是 为 内 网 用 户 和 计算 机 提供 基本 的 身份 认证 。 在 网 络 中 部 署 和 应 用 


NAP 强制 之 前 , 首先 应 在 域 中 创建 相应 的 用 户 帐 户 或 组 , 例如 NAP 免除 安全 组 、 测 试用 户 组 等 。 


NAP 免除 安全 组 用 于 存储 网 络 中 的 非 NAP 客户 端 , 如 Windows Server 2003、Windows XP 


( 非 SP3) 系统 用 户 等 。 这 些 用 户 无 法 应 用 各 种 NAP 强制 ， 管 理 员 为 符合 安全 策略 和 不 符合 
安全 策略 的 客户 端 设置 访问 权限 后 ， 必 须 单独 为 这 些 客户 端 指定 是 授权 访问 ， 还 是 限制 访问 。 


测试 用 户 组 则 用 于 存储 广泛 应 用 NAP 强制 之 前 的 测试 工作 。 不 同 的 NAP 强制 分 别 限制 


不 同类 型 的 网 络 访问 。 如 果 由 于 应 用 了 网 络 健康 评估 策略 , 而 影响 了 正常 的 网 络 应 用 ,就 得 不 
尝试 了 。 因 此 ， 应 用 NAP 强制 之 前 必需 在 小 范围 内 进行 测试 。 
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2. 证 书 服务 器 


数字 证 书 是 最 常用 的 网 络 安全 保护 手段 之 一 。 在 部 署 NAP 强制 的 网 络 中 ， 证 书 服务 器 的 
主要 作用 ,就 是 为 网 络 中 的 各 种 服务 器 角色 或 客户 端 颁发 数字 证 书 ,实现 彼此 之 间 的 身份 验证 。 
证 书 服务 器 在 IPSec 强制 的 网 络 中 是 必需 的 ， 而 在 其 他 NAP 强制 的 网 络 中 则 是 可 选 的 。 例 如 ， 
在 VPN 强制 网 络 中 ， 如 果 用 户 选择 了 特定 的 加 密 传输 协议 和 身份 验证 方式 ， 则 就 可 能 需要 准 
备 数字 证 书 ， 验 证 VPN 服务 器 和 VPN 客户 端 身份 的 有 效 性 。 


3. 网 络 策略 服务 器 


网 络 策略 服务 器 (NPS) 是 任何 NAP 强制 都 必需 的 ， 提 供 各 种 安全 健康 评估 、 记 账 等 功 
能 ,是 Windows Server 2008 系统 的 新 增 功能 之 一 ,NPS 允许 用 户 通过 RADIUS 服务 器 .RADIUS 
代理 和 NAP 策略 服务 器 ， 集 中 配置 和 管理 网 络 策略 。 


(1) RADIUS 服务 器 


从 Windows Server 2008 系统 开始 ，RADIUS 服务 器 已 经 被 集成 在 NPS 中 。 作 为 RADIUS 
服务 器 ，NPS 为 许多 类 型 的 网 络 访问 (包括 无 线 、 身 份 验证 切换 、VPN 远程 访问 ， 路 由 器 到 
路 由 器 的 连接 ) 执行 集中 化 的 连接 身份 验证 、 授 权 和 记 账 。 

RADIUS 服务 器 具有 对 用 户 帐户 信息 的 访问 权限 , 并 可 以 检查 网 络 访问 身份 验证 凭据 。 如 
果 用 户 的 凭据 是 真实 的 , 并 且 连 接 尝试 获得 授权 , RADIUS 服务 器 将 根据 指定 条 件 向 用 户 授予 
访问 权限 ， 并 将 网 络 访问 连接 记录 到 记 账 日 志 中 。 使 用 RADIUS 允许 在 一 个 中 心 位 置 〈 而 不 
是 在 每 台 访 问 服务 器 上 ) 收集 并 维护 网 络 访问 用 户 身份 验证 、 授 权 和 记 账 数据 。 


(2) RADIUS 代理 


作为 RADIUS 代理 , NPS 将 身份 验证 和 记 账 消息 转发 到 其 他 RADIUS 服务 器 。 使 用 NPS， 
各 组 织 还 可 以 在 保留 对 用 户 身份 验证 、 授权 和 记 账 活动 控制 的 同时 , 将 远程 访问 基础 结构 外 包 
给 服务 提供 商 。 
(3) NAP 策略 服务 器 


NAP 包含 在 Windows Vista 和 Windows Server 2008 中 , 并 通过 确保 按照 组 织 网 络 健康 策略 配置 
客户 端 计 算 机 后 才 允 许 其 连接 到 网 络 资源 ， 从 而 有 助 于 保护 对 专用 网 络 的 访问 。 此 外 ， 计 算 机 连接 
到 网 络 时 ,NAP 会 监视 客户 端 计算 机 对 管理 员 定义 的 健康 策略 的 遵从 性 情况 。 使 用 NAP 自动 更 新 ， 
可 以 自动 更 新 不 符合 要 求 的 计算 机 ， 以 使 其 遵从 健康 策略 ， 从 而 使 它们 能 够 连接 到 网 络 。 

系统 管理 员 可 以 定义 网 络 健康 策略 ， 并 使 用 NPS 中 或 其 他 公司 (取决 于 NAP 部 署 ) 提供 
的 NAP 组 件 创建 这 些 策略 。 

健康 策略 可 以 包含 软件 要 求 、 安 全 更 新 要 求 和 所 需 的 配置 设置 等 内 容 。NAP 通过 检查 和 
评估 客户 端 计算 机 的 健康 , 在 认为 客户 端 计算 机 不 健康 时 限制 网 络 访问 以 及 修正 不 健康 的 客户 
端 计算 机 以 进行 充分 的 网 络 访问 ， 来 强制 运行 健康 策略 。 
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2.3 更 新 服务 器 


当 用 户 配 置 健康 要 求 策略 来 强制 受 限 访问 时 ， 更 新 服务 器 是 不 符合 的 NAP 客户 端 可 以 访 


问 的 内 网 的 子 集 。 更 新 服务 器 包括 网 络 基础 结构 服务 器 和 健康 更 新 服务 器 。 不 符合 的 NAP 客 
户 端 , 使 用 这 些 服务 器 或 服务 器 上 的 资源 来 自动 或 手动 执行 更 新 。 健康 要 求 策略 也 可 以 为 不 支 
持 NAP 的 客户 端 强制 受 限 访问 。 


如 果 使 用 报告 模式 ， 则 不 需要 更 新 服务 器 。 在 报告 模式 下 ， 不 符合 的 NAP 客户 端的 访问 


不 受 限 制 。 但 是 ,为 了 避免 不 符合 健康 要 求 的 计算 机 为 内 网 带 来 的 为 威胁 ， 必 须 最 终 转换 到 强 
制 模式 ， 即 需要 建立 更 新 服务 器 。 


在 VPN 和 DHCP 模式 下 不 符合 的 NAP 客户 端 , 可 以 访问 的 更 新 服务 器 列表 , 需要 与 NAP 


客户 端 健康 评估 匹配 的 网 络 策略 的 NAP 强制 设置 中 ， 指 定 的 更 新 服务 器 组 相符 合 ， 更 新 服务 
器 组 是 一 个 IPv4 和 IPv6 地 址 的 列表 。 该 列表 应 该 包括 网 络 基 础 结构 服务 器 和 健康 更 新 服务 器 。 
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基础 结构 服务 器 包括 如 下 部 分 : 


DHCP 服务 器 : 为 不 符合 的 NAP 客户 端 分 配 IPv4 地 址 和 其 他 配置 参数 ,保证 其 可 以 访 
问 更 新 服务 器 。 如 果 用 户 正 使 用 DHCP 强制 方式 , 则 不 需要 添加 支持 NAP 的 DHCP 服 
务 器 作为 更 新 服务 器 ; 

@ DNS 和 WINS 服务 器 : 为 不 符合 的 NAP 客户 端 提 供 名 称 解析 ， 保 证 其 可 以 解析 名 称 ， 
并 访问 其 他 更 新 服务 器 ; 

四 活动 目录 域 控制 器 : 保证 不 符合 的 NAP 客户 端 可 以 执行 域 登陆 ， 访 问 基于 域 的 资源 如 
文件 共享 ; 

Intemet 代理 服务 器 : 保证 不 符合 的 NAP 客户 端 可 以 访问 Internet; 

mm HRA: 保证 不 符合 的 NAP 客户 端 可 以 在 IPSec 强制 模式 下 获取 健康 证 书 。 

更 新 NAP 客户 端 系统 健康 需要 健康 更 新 服务 器 ， 包 括 如 下 部 分 : 

m 疑难 解答 URL 服务 器 : 在 “更 新 服务 器 和 疑难 解答 URL” 对 话 框 中 的 疑难 解答 URL 
文本 框 中 ， 指 定 Web 服务 器 ; 

四 反 病 毒 更 新 服务 器 : 这 些 服务 器 可 能 位 于 Intermet 上 。 如 果 用 户 拥有 Intemet 代理 服务 
器 作为 更 新 服务 器 ， 则 不 需要 包含 基于 Internet 的 反 病 毒 更 新 服务 器 。 如 果 在 内 网 中 拥 
有 反 病 毒 更 新 服务 器 ， 则 应 该 将 其 作为 更 新 服务 器 ， 因 为 在 尝试 连接 访问 基于 Internet 
的 反 病毒 服务 器 前 ， 通 常会 首先 在 这 些 服务 器 上 检查 更 新 ; 

四 反 间谍 更 新 服务 器 : 如 同 反 病毒 服务 器 一 样 ， 如 果 在 内 网 中 配置 了 反 间谍 更 新 服务 器 ， 
则 需 将 其 作为 更 新 服务 器 。 如 果 只 存在 于 Intemet 上 ， 确保 Intemet 代理 服务 器 包含 在 
更 新 服务 器 组 中 ; 

m 软件 更 新 服务 器 : 如 同 反 病 毒 服务 器 一 样 ， 如 果 在 内 网 中 配置 了 软件 更 新 服务 器 ， 则 需 
将 其 作为 更 新 服务 器 。 如 果 只 存在 于 Intemet 上 ， 确 保 Internet 代理 服务 器 包含 在 更 新 
服务 器 组 中 。 


更 新 NAP 客户 端 所 需要 的 健康 更 新 服务 器 的 设置 依赖 于 用 于 健康 评估 的 SHV。 


16.3 安装 NPS 


在 Active Directory 环境 中 部 署 NAP 系统 , 用 户 可 以 更 充分 地 使 用 提供 的 网 络 访问 保护 功 
能 。 默 认 安装 完成 Windows Server 2008 后 ， 没 有 安装 网 络 策略 和 远程 访问 服务 ， 需 要 网 络 用 
户 手动 安装 该 服务 。 


0 1 选择 “开始 ”一 “服务 器 管理 器 ”命令 ， 打 开 “ 服 务 器 管理 器 ”窗口 。 选 择 “角色 ”选项 ， 在 角色 窗口 
中 ， 单 击 “ 添 加 角色 ”链接 ， 显 示 “ 开 始 之 前 ”对 话 框 。 单 击 “ 下 一 步 ” 按 钮 ， 显 示 “ 选 择 服务 器 角色 ” 
对 话 框 ， 选 中 “网 络 策略 和 访问 服务 ” 复 选 框 ， 如 图 16.1 所 示 。 


=- my 


图 16.1 选择 服务 器 角色 


0 2 依次 单 击 “下 一 步 ”按钮 ， 查 看 网 络 策略 和 访问 服务 的 相关 信息 并 选择 需要 安装 的 角色 服务 ， 直 至 安装 
完成 ， 如 图 16.2 所 示 。 在 “角色 服务 ”窗口 中 ， 根 据 下 面 实验 需要 选中 “网 络 策略 服务 器 ”、“ 路 由 和 
远程 访问 服务 ”和 “健康 注册 机 构 ” 复 选 框 。 
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提示 “路 由 和 远程 访问 服务 、“ 健 康 注册 机 构 ” 和 “主机 凭据 授权 协议 ”只 有 特殊 环境 

< 训 中 放 会 用 到 ,这 里 不 做 选择 。 如 果 选 择 这 些 角色 后 需要 添加 相应 的 角色 服务 和 功能 
组 件 ， 例 如 选择 “健康 注册 机 构 ” 角 色 ， 就 需要 安装 Active Directory 证 书 服务 、 
Web 服务 器 等 。 


16.4 配置 IPSec 强制 


IPSec 强制 在 网 络 中 界定 通信 范围 ， 并 且 保 护 端 到 端的 通信 ， 建 立 专门 的 物理 或 逻辑 链 路 
进行 通信 。 通 过 IPSec 强制 允许 用 户 为 基于 卫 地 址 、TCP 或 UDP 端口 的 安全 通信 设置 需求 ， 
是 NAP 限制 网 络 访问 的 最 安全 和 最 灵活 的 方式 之 一 。 


16.4.1 IPSec 概述 


IPSec 强制 通常 划分 为 3 个 逻辑 网 络 (如 图 16.3 所 示 )， 即 安全 网 络 、 边 界 网 络 和 受 限 网 
络 。 计 算 机 在 任何 时 候 都 只 是 一 个 逻辑 网 络 的 成 员 。 逻辑 网 络 要 求 计算 机 拥有 健康 证 书 , 而 且 
计算 机 需要 对 入 站 的 通信 尝试 进行 身份 验证 。 
@ 安全 网 络 。 计 算 机 拥有 健康 证 书 ， 入 站 通信 需要 尝试 使 用 健康 证 书 认 证 ， 为 提供 IPSec 
保护 共享 的 IPSec 策略 设置 ; 
边界 网 络 。 计 算 机 拥有 健康 证 书 ， 但 对 入 站 通信 不 需要 尝试 使 用 健康 证 书 认 证 和 使 用 
IPSec 保护 。 这 些 类 型 的 计算 机 都 是 首先 访问 和 更 新 NAP 客户 端 健康 或 其 他 网 络 服务 
的 服务 器 。 由 于 编辑 网 络 中 的 计算 机 不 需要 身份 验证 和 受 保护 的 通信 , 所 以 必须 密切 关 
注 他 们 的 健康 ， 防 止 被 利用 来 攻击 安全 网 络 中 的 计算 机 ; 
四 受 限 网 络 。NAP 客户 端 计算 机 没有 完成 健康 检查 即 没有 健康 证 书 ， 但 仍然 需要 对 所 有 入 站 
通信 尝试 使 用 健康 证 书 认证 。 这 些 NAP 客户 端 一 般 式 来 宾 或 不 支持 NAP 的 计算 机 。 


图 16.3 IPSec 强制 逻辑 网 络 
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16.4.2 配置 CA 


CA 在 IPSec 强制 系统 中 起 着 非常 关键 的 作用 ， 负 责 为 用 户 计算 机 颁发 健康 证 书 。 配 置 
IPSec 强制 之 前 ， 如 果 没 有 基于 Windows 的 PKI， 必 须 预 先 配 置 。 对 于 已 有 的 基于 Windows 
的 PKI， 必 须 在 证 书 层 的 发 布 CA 级 创建 NAP CA。 


1. 创建 证 书 模板 


对 于 基于 Windows Server 2003 的 NAP CA， 必 须 手 动 创建 系统 健康 身份 验证 证 书 模板 ， 
保证 IPSec 安全 组 的 成 员 可 以 自动 注册 长 生命 周期 的 健康 证 书 .对 于 基于 Windows Server 2008 
的 NAP CA， 系统 中 已 经 包括 了 系统 健康 身份 验证 证 书 模板 ,但 是 必须 确保 系统 健康 身份 验证 
证 书 模板 拥有 适当 的 自动 注册 的 权限 。 


和 1 登录 证 书 服务 器 ， 依 次 选择 “开始 ”一 “管理 工具 ”一 “Certification Authority” 命 令 ， 打 开 “certsrv-[ 证 
书 颁发 机 构 (本 地 ) ]” 窗 口 。 右 击 “ 证 书 模板 ”选项 ， 选 择 快捷 菜单 中 的 “管理 ”命令 ， 打开“ 证 书 
模板 控制 台 ” 窗 口 。 右 击 “工作 站 身份 验证 ”选项 ， 选 择 “ 复 制 模板 ”命令 ， 显 示 如 图 16.4 所 示 “ 复 
制 模板 ”对 话 框 ， 保 持 默 认 即 可 。 


a 
Bs Winawws 2003 Server, Enterprise Edition(2) 
ed 
SE findors Server 208, Enterprise dition() 
后 
了 解 有 关 证 书 楂 板 版 本 的 详细 信息 * 
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图 16.4 复制 模板 


0 2 单 击 “ 确 定 ” 按钮， 显示 “新 模板 的 属性 ”对 话 框 。 在 “模板 显示 名 称 ”文本 框 中 输入 相应 的 模板 名 称 ， 
选中 “Active Directory 中 发 布 证 书 ” 复 选 框 。 在 “扩展 ”选项 卡 中 ， 在 “这 个 模板 中 包括 的 扩展 ” 文 
本 框 中 双击 “应 用 程序 策略 ” 选项， 显示“ 编辑 应 用 程序 策略 扩展 ”对 话 框 。 单 击 “ 添 加 ”按钮 ， 显 示 
“添加 应 用 程序 策略 ”对 话 框 ， 在 “应 用 程序 策略 ”列表 中 ， 选 择 “ 系 统 健康 身份 验证 ”策略 ， 如 图 
16.5 所 示 。 依 次 单 击 “ 确 定 ” 按钮， 返回“ 新 模板 的 属性 ”对 话 框 ， 即 可 看 到 “新 模板 ”已 经 有 两 个 应 
用 程序 策略 : 客户 端 验 证 和 系统 健康 身份 验证 。 
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图 16.5 “新 模板 的 属性 ”对 话 杠 


3 在 “安全 " 选项 卡 中 ， 单 击 “ 添 加 ” 按钮， 显示 “选择 用 户 、 计 算 机 或 组 ”对 话 框 ， 输 入 “company ( 安 
全 组 名 称 ) "。 单 击 “ 确 定 ” 按 钮 ， 将 其 添加 到 “组 或 用 户 名 ”列表 中 ， 选 中 company 安全 组 ， 在 下 面 
“company 权限 ”权限 选项 框 中 选中 “注册 ”和 “自动 注册 ”对 应 的 “允许 ” 复 选 框 ， 如 图 16.6 所 示 。 
选择 用 户 、 计 算 机 或 组 
新 错 板 的 民 性 


图 16.6 设置 安全 选项 


0 4 单 击 “ 确 定 ”按钮 ， 证 书 模板 创建 完成 。 


2. 颁发 证 书 模板 
证 书 模板 创建 完成 后 还 需 颁发 证 书 模板 。 在 证 书 颁发 机 构 窗口 中 , 右 击 “ 证 书 模板 ”选项 ， 


选择 快捷 菜单 中 的 “新 建 ”一 “要 颁发 的 证 书 模板 ”命令 ， 显 示 如 图 16.7 所 示 “ 启 用 证 书 模 
板 ”对 话 框 。 选 择 “ 工 作 站 身份 验证 的 副本 ”模板 ， 单 击 “ 确 定 ”按钮 即 可 。 
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| 国 启用 证 书 楼 板 | 


村 -个 证 书 读 板 。 
Et 的 下 书 模板 没 及 汕 和 在 此 列表 上 ， 风 在 有 关 此 杆 板 的 信息 页 各 (所 有 拭 控 钊 器 之 前 


图 16.7 “启用 证 书 模板 ”对 话 杠 
3. 配置 CA 允许 非 默认 的 生命 周期 


企业 CA 必须 配置 为 允许 非 默认 的 生命 周期 ， 否 则 符合 的 NAP 客户 端 将 被 发 布 健康 证 书 
模板 指定 的 生命 周期 的 健康 证 书 ， 而 不 是 HRA 配置 中 指定 的 短 生 命 周 期 。 


O11 登录 证 书 服务 器 ， 以 管理 员 帐 


certutil.exe -setreg policy\EditFlags +EDITF ATTRIBUTEENDDATE 


口 ， 输 入 如 下 命令 : 


回 车 执行 ， 成 功 完成 后 显示 如 图 16.8 所 示 结 果 。 


图 16.8 配置 企业 NAP CA 


页 


0 2 运行 “net stop certsvc” 和 “net start certsvc” 命令 ， 重 启 活动 目录 证 书 服务 ， 使 设置 生效 ， 如 医 


16.9 所 示 。 


Ag 
属 。 Windows Server 2008 系统 安全 管理 实战 指南 


4. 配置 健康 证 书 模板 的 自动 注册 


为 了 使 边界 计算 机 (IPSec NAP 安全 组 成 员 ) 


自动 获取 长 生命 周期 的 健康 证 书 , 必须 在 活动 目录 
中 启用 证 书 自动 注册 。 

在 “组 策略 管理 编辑 器 ”中 ， 展开“ 计算 机 配 
置 \ 策 略 \Windows 设置 \ 安 全 设置 \ 公 钥 策 略 ”。 双 击 EL 
“证 书 服务 客户 端 - 自动 注册 ”， 显示 如 图 16.10 el 
所 示 “ 证 书 服务 客户 端 - 自动 注册 属性 ”对 话 框 。 le 
在 “配置 型 号 ”下 拉 列 表 中 , 选择 “已 启用 ”选项 ， 
并 选中 “ 续 订 过 期 证 书 、 更 新 未 决 证 书 并 删除 吊销 了 庆生 多 信息 
的 证 书 ” 和 “更 新 使 用 证 书 模板 的 证 书 ” 复 选 框 。 
单 击 “ 确 定 ” 按 钮 ， 保 存 设 置 即 可 。 


自动 注册 用 户 和 计算 机 正 书 


图 16.10 “证 书 服务 客户 端 -自动 注册 属性 ”对 话 框 
16.4.3 ”配置 域 控制 器 默认 策略 


通过 配置 域 控制 器 默认 策略 可 以 自动 请 求 客户 端 颁 发 验证 证 书 。 


0 1 选择 “开始 ”一 “管理 工具 ”一 “组 策略 管理 ”命令 , 显示 “组 策略 管理 ”窗口 。 依 次 选择 “ 林 : corp.contoso.com” 
一 “corp.contoso.com” 一 “Default Domain Policy” 选 项 ， 右 击 “Default Domain Policy” 选 项 ， 在 弹 
出 的 快捷 菜单 中 选择 “编辑 ”命令 ， 打 开 如 图 16.11 所 示 “ 组 策略 管理 编辑 器 ”窗口 。 


BET 
BH ME En Bm ld 
中 中 Tg 日 可 


CETITTETTRETT | 
LIT | 
es 
Sa 4-HEBtEipnit， less 
RE mE 
避 国 他 地 岳 
lus) OED FC 7 


[ | 


图 16.11 打开 “组 策略 管理 编辑 器 ”窗口 


02 选择 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “ 公 钥 策略 ”选项 ， 双 击 “ 证 书 
客户 端 - 自动 注册 ”策略 ， 显 示 “ 证 书 服务 客户 端 - 自动 注册 属性 ”对 话 框 。 在 “配置 型 号 ”下 拉 列 
表 框 中 选中 “已 启用 ”选项 ， 同 时 选中 “ 续 订 过 期 证 书 、 更 新 未 决 证 书 并 删除 吊销 的 证 书 ” 和 “更 新 使 
用 证 书 模板 的 证 书 ” 复 选 框 ， 如 图 16.12 所 示 。 
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[证 书库 务 安 户 党 自动 主轴 民 性 | 
| | 
注册 用 户 和 机 
RD Er - 
把 亲 过 下、 更 新 未 下 书 部 杀 91 忆 四) 
厅 本 全书 的 书信) 


三 过 类 画 委 区 ) 
当 汪 书 有 有效期 限 为 下 列 百 分 比 时 暗示 这 期 通知 


了 解 关于 自动 证 书 管理 A 更 多 信息 
Ci mw | enw | 
图 16.12 “证 书 服务 客户 端 - 自动 注册 属性 ”对 话 框 
03 单 击 “ 确 定 ”按钮 ， 完 成 设置 。 


16.4.4 ”配置 NPS 


配置 NPS 才能 实现 网 络 安全 保护 ， 对 网 络 中 的 计算 机 进行 安全 评估 。 

1. 检查 是 否 获得 证 书 

在 NPS 网 络 保护 环境 中 ， 只 有 获得 健康 认证 的 客户 端 才能 访问 完了 资源 。 

在 控制 台 窗口 中 ， 依 次 选择 “文件 ”一 “添加 /删除 管理 单元 ”选项 ， 打 开 “ 添 加 或 删除 

管理 单元 ”对 话 框 ， 选 择 “ 证 书 ” 选 项 ， 单 击 “ 添 加 ”按钮 ， 显 示 “ 证 书 管理 单元 ”窗口 ， 选 
中 “计算 机 帐户 ” 单 选 按钮 。 单 击 “ 下 一 步 ”按钮 ， 在 如 图 16.13 所 示 “ 选 择 计算 机 ”对 话 框 ， 

选中 “本 地 计算 机 ” 单 选 按钮 ， 单 击 “ 完 成 ”按钮 ， 返 回 “ 添 加 或 删除 管理 单元 ” 窗 


ETRTTIETTT7 CT 其 沪 00 i 


外 中 oe Ils 
Ce Ce 
ra 
mm 对 
个 服务 帐户 G) 
CE bo 
这 个 入 元 入 管理: 
本 元 机 挝 行 这 个 过 制约 计 苦 机 ) 0 


CE 机 LN: 让 四 
厂 人 许 这 定 的 计 革 机 可 以 从 命令 行 启 胡 重 改 ， 识 在 保存 了 控制 台 后 过 用 0D * 


so 畏 


图 16.13 打开 “选择 计算 机 ”对 话 框 
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依次 选择 “证 书 ( 本 地 计算 机 )” 一 “个 人 ”一 “证 书 ” 选 项 ， 就 会 发 现 已 经 从 CA 获得 
了 证 书 。 如 果 没有 获得 证 书 ， 可 能 是 由 于 组 策略 未 启用 ， 管 理 员 可 以 在 NPS 服务 器 上 执行 
“gpupdate/force” 命 令 ， 强 制 刷新 组 策略 。 


2. 配置 HRA 属性 
通过 配置 HRA 来 设置 健康 证 书 的 属性 。 


01 在 NPS 服务 器 上 ， 选择“ 开始 ”一 “管理 工具 ”一 “服务 器 管理 器 ”选项 ， 在 打开 的 “服务 器 管理 器 ” 
窗口 中 ， 依 次 选择 “角色 ”一 “网 络 策略 和 访问 服务 ”一 “健康 注册 机 构 ” 一 “证 书 颁发 机 构 ” 选 项 。 
右 击 “ 证 书 颁发 机 构 ” 选 择 ， 在 快捷 菜单 中 选择 “添加 证 书 颁发 机 构 ”命令 ， 显 示 如 图 16.14 所 示 “ 添 
加 证 书 颁发 机 构 ” 对 话 框 。 


图 16.14 打开 “添加 证 书 颁发 机 构 ” 对 话 框 


0 2 单 击 “浏览 ”按钮 ， 显 示 “ 选 择 证 书 颁发 机 构 ” 对 话 框 ， 选 择 从 CA 获得 的 证 书 。 依 次 单 击 “ 确 定 ” 按 
钮 ， 将 其 添加 到 “服务 器 管理 器 ”窗口 中 ， 右 击 “ 证 书 颁 发 机 构 ” 选 项 ， 在 弹出 的 快捷 菜单 中 选择 “ 属 
性 ”命令 ， 显 示 如 图 16.15 所 示 “ 证 书 颁发 机 构 属性 ”对 话 框 ， 设 置 HRA 要 求 的 健康 证 书 的 有 效 时 间 
和 HRA 是否 使 用 独立 或 企业 CA。 


图 16.15 “证 书 颁发 机 构 属性 ”对 话 框 
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03 单 击 “ 确 定 ”按钮 ， 即 可 完成 配置 。 


3. 在 CA 上 赋予 NPS 计算 机 帐户 相应 权限 


NPS 服务 器 要 为 符合 健康 策略 的 计算 机 颁发 证 书 和 删除 证 书 ,所 以 HRA 必须 要 有 “请 求 ”、 
“发 送 ” 和 “管理 证 书 ” 的 权限 。 
01 在 证 书 颁发 机 构 中 ， 右 击 “ 证 书 服务 器 (以 corp-WIN-91E1QH63SZJ-CA 为 例 )” 选 项， 选择 快捷 菜单 
中 的 “属性 ”命令 ， 显 示 “corp-WIN-91E1QH63SZJ-CA 属性 ”对 话 框 。 切 换 至 “安全 ”选项 卡 ， 单 
击 “ 添 加 ”按钮 ， 显 示 如 图 16.16 所 示 “ 选 择 用 户 、 计 算 机 或 组 ”对 话 框 ， 将 NPS 对 应 的 计算 机 帐户 
添加 到 安全 帐户 列表 中 。 
2 单 击 “ 确 定 ”按钮 ， 返 回 “ 安 全 ”选项 卡 ， 选 中 NPS 对 应 的 计算 机 帐户 ， 在 “组 或 用 户 名 ”选项 框 中 
赋予 其 “颁发 和 管理 证 书 ”“ 管 理 CA” 和 “请 求证 书 ” 权 限 ， 如 图 16.17 所 示 。 


名 Enterprise Adnins (CORP\Enterprise Adnins) 
妃 Aaninistrators (CORP\Adninistrators) 


图 16.16 打开 “选择 用 户 、 计 算 机 或 组 ”对 话 框 


03 单 击 “确定” 按钮， 完成 配置 。 


4. 配置 网 络 策略 服务 器 
通过 NPS 向 导 可 快速 配置 IPSec 强制 健康 要 求 策略 。 


01 在 NPS 服务 器 上 ， 选 择 “ 开 始 ”一 “管理 工具 ”一 “网 络 策略 服务 器 ”命令 ， 显 示 “ 网 络 策略 服务 器 ” 
窗口 。 单 击 “ 配 置 NAP” 连 接 ， 显 示 如 图 16.18 所 示 “ 选 择 与 NAP 一 起 使 用 的 网 络 连 接 方法 ”对 话 框 ， 
在 “网 络 连接 方法 ”下 拉 列 表 框 中 ， 选 择 “ 带 有 健康 注册 机 构 (HRA) 的 IPSec” 选 项 。 
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Tl [mn 


图 16.18 打开 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”对 话 框 


2 依次 单 击 “ 下 一 步 ”按钮 ， 配 置 RADIUS 客户 端 和 计算 机 组 ， 如 


务 器 运行 HRA” 对 话 框 


16.19 所 示 。 在 “指定 NAP 强制 服 


h， 本 例 是 在 本 地 计算 机 上 运行 HRA， 所 以 可 以 跳 过 此 步骤 。 在 “配置 用 户 组 


和 计算 机 组 ”对 话 框 中 ， 默 认 情 况 下 应 用 于 所 有 用 户 组 和 计算 机 组 。 


站 指定 NAP 强制 服务 器 运行 HRA 


ns 而 不 是 容 记 江 计 其 机 。 如 条 本 她 计算机 正在 运行 JB4， 内 癌 
sy 


MDTWS 客户 满 ， 刚 单 而 "添加 ”。 汪 1089 所 有 运程 ak 
i ny a, ee 


RADIUS 容 户 满 (C} A 
a 
上 En 


Er 


品 配置 用 户 组 和 计算 机 组 


贡生 和 芷 机 组 ， 若 要 人 许 各 拒 季 访 问 用 户 组 ， 诗 特 组 洒 加 到 
如 晶 示 和 放任 何 组 ， 此 肝 天 将 应 用 于 所 有 用 户 * 
计算 机 组 : 


上 - 步 o) RR) DE] 


图 16.19 配置 RADIUS 客户 端 和 计算 机 组 


上 3 依次 单 击 “ 下 一 步 ”按钮 ， 定 义 NAP 健康 策略 和 确认 策略 配置 ， 如 


策略 ”对 话 框 中 ， 选 中 
在 “正在 
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到 16.20 所 示 。 在 “定义 NAP 健康 


“Windows 安全 健康 验证 程序 ”和 “启用 客户 端 计算 机 的 自动 更 新 ” 复 选 框 。 
完成 NAP 增强 策略 和 RADIUS 客户 端 配置 ”对 话 框 


和 ， 检 查 当前 配置 清单 ， 是 否 需 要 修改 。 


第 16 章 Windows 网 络 访问 保护 | 


2 定义 NAP 健康 策略 2 正在 完成 NAP 增强 策略 和 RADIUS 阁 户 端 配置 
6 和 6 扫 了 以 关 轩 了 以下 Dan 才 
re 请 单 击 “配置 详 报 信息”"* 

3 

Ei 

EEE 

as 

上 - 步 四 7 i 上 -四 | 1 | 沽 四 | 


图 16.20 定义 NAP 健康 策略 和 确认 策略 配置 
04 单 击 “ 完 成 ”按钮 ， 完 成 NAP 向 导 配置 。 


5. 配置 SHV 


SHYV 的 配置 是 由 客户 端 健康 要 求 决定 的 ，Windows 安全 健康 验证 程序 包括 防火 墙 、 自 动 
更 新 、 防 病毒 程序 、 防 间谍 软件 等 审核 对 象 。 


01 在 网 络 策略 服务 器 中 ， 选 择 “ 网 络 访问 保护 ”一 “系统 健康 验证 器 ”选项 ， 如 图 16.21 所 示 。 


图 16.21 “系统 健康 验证 程序 ”窗口 
2 双击 “Windows 安全 健康 验证 程序 ” 选项， 显示 “Windows 系统 健康 验证 程序 属性 ”对 话 框 ， 根 据 系 
统 健康 要 求 配置 SHV。 单 击 “ 配 置 ”按钮 ， 显 示 如 图 16.22 所 示 “Windows 安全 健康 验证 程序 ”对 话 
框 ， 选 中 需要 进行 健康 检查 内 容 的 复 选 框 。 
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图 16.22 ”Windows 系统 健康 验证 程序 
0 3 单 击 “ 确 定 ”按钮 ， 保 存 设置 并 退出 。 


16.4.5 配置 IPSec 强制 客户 端 


尽管 可 以 单独 配置 NAP 客户 端 ， 但 是 在 活动 目录 域 环境 中 ， 建 议 使 用 集中 配置 NAP 客 
户 端的 方式 ， 通 常情 况 下 是 通过 组 策略 设置 ， 主 要 包括 如 下 任务 : 

a 配置 NAP 客户 端 设置 ; 

里 启用 Windows 安全 中 心 ; 

里 配置 网 络 访问 保护 代理 服务 的 自动 启用 。 


1. 配置 NAP 客户 端的 设置 


(01 在 “组 策略 管理 器 ”管理 单元 中 ， 依 次 展开 “ 林 ” 一 “ 域 "。 在 “连接 的 组 策略 对 象 ” 面 板 中 ， 右 击 组 
策略 对 象 (默认 对 象 是 Default Domain Policy) ， 在 快捷 菜单 中 选择 “编辑 ”选项 ， 打 开 “ 组 策略 管理 
编辑 器 ”窗口 。 

0 2 依次 展开 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “Network Access Protection” 
一 “NAP 客户 端 配置 ”一 “强制 客户 端 ?选项 , 双击 “IPSec 信 培 方 ”强制 客户 端 , 显示 如 图 16.23 所 示 “IPSec 
信赖 方 属性 ”对 话 框 ， 选 中 “启用 此 强制 客户 端 ” 复 选 框 。 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 
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ED enw | 


图 16.23 打开 “IPSec 信赖 方 属性 ”对 话 框 


3 如 果 使 用 受信 任 的 服务 器 组 作为 NAP 客户 端 查找 HRA 的 方法 ， 可 在 控制 树 中 展开 “健康 注册 设置 ”， 
如 图 16.24 所 示 。 


4 添加 受信 任 服务 器 组 。 右 击 “ 受 信任 服务 器 组 ” 在 快捷 菜单 中 选择 “新 建 ”选项 ， 显 示 如 图 16.25 所 
示 “ 组 名 ”对 话 框 。 在 “组 名 ”文本 框 中 ， 输 入 组 的 名 称 。 


EEEESTTEE 


A 组 名 


EO 


DE 


1 


ea 3 TFs 


i 2 


st 2 


加 ] 


$0 | 


图 16.24 展开 “健康 注册 设置 图 16.25 “组 名 ”对 话 框 


05 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 16.26 所 示 “ 添 加 服务 器 ”对 话 框 。 根 据 需 要 在 “添加 您 希望 客户 端 信 
任 的 注册 机 构 的 URL” 文 本 框 中 ， 输 入 为 应 用 组 策略 对 象 的 NAP 客户 端 所 使 用 的 HRA 添加 URL。 


为 使 用 SSL 的 HTTP 认证 健康 证 书 ，URL 必须 以 如 下 形式 : 


https://HRA_FQDN/domainhra/hcsrvext.dll， 其 中 HRA_FQDN 为 HRA 计算 机 的 FQDN; 
里 为 认证 使 用 HITTP 的 健康 证 书 ，URL 必须 采用 如 下 形式 : 
http://HRA_FQDN/domainhra/hesrvext.dll; 

为 认证 使 用 通过 SSL 的 HTTP 的 匿名 健康 证 书 ，URL 必须 采用 如 下 形式 : 
https://HRA_FQDN/nondomainhra/hcsrvext.dll; 

下 为 认证 使 用 HTTP 的 匿名 健康 证 书 ，URL 必须 采用 如 下 形式 : 
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http://HRA FQDN/nondomainhra/hcsrvext.dll。 

06 如果 想 要 所 有 URL 都 基于 SSL， 需 要 选中 “要 求 对 此 组 中 的 所 有 服务 器 进行 服务 器 验证 (http: ) ” 复 选 
框 。 如 果 任意 一 个 URL 不 是 基于 SSL 的 ， 清 除 “ 要 求 对 此 组 中 的 所 有 服务 器 进行 服务 器 验证 (http:) ” 
复 选 框 即 可 ， 如 图 16.27 所 示 为 当 所 有 URL 都 是 基于 SSL 的 实例 。 验 证 列表 中 的 所 有 URL 是 否 按照 
正确 的 顺序 ， 如 不 正确 ， 可 以 单 击 “ 上 移 ^“ 下 移 ” 按 钮 来 更 正 。 


图 16.26 “添加 服务 器 ”对 话 框 图 16.27 配置 基于 SSL 的 URL 的 实例 


07 单 击 “下 一 步 ” 按钮， 显示 “正在 完成 受信 任 的 服务 器 组 向 导 ” 对 话 框 。 单 击 “ 完 成 ”按钮 ， 完 成 添加 
受信 任 服务 器 组 的 操作 。 


2. 启用 Windows 安全 中 心 


为 了 使 用 组 策略 启用 NAP 客户 端 上 的 Windows 安全 中 心 ， 可 按 如 下 步骤 操作 

在 “组 策略 管理 ”管理 单元 中 , 依次 展开 “计算 机 配置 ”一 “策略 ”一 “管理 模板 ”一 “Windows 
组 件 ” 一 “安全 中 心 ” 如 图 16.28 所 示 。 双 击 “启用 安全 中 心 〈 仅 限 域 PC)”， 显 示 “ 启 用 安 
全 中 心 〈 仅 限 域 PC) 属性 ”对 话 框 ， 选 择 “已 启用 ” 单 选 按钮 。 最 后 ， 单 击 “ 确 定 ” 按 钮 ， 
保存 设置 即 可 。 


a 


| 


图 16.28 启用 安全 中 心 
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3. 配置 网 络 访问 保护 代理 服务 的 自动 启用 
0@1 在 “组 策略 管理 ”管理 单元 中 ， 依 次 展开 “计算 机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 
“系统 服务 ”。 在 详细 面板 中 ， 双 击 “Network Access Protection Agent”， 显 示 如 图 16.29 所 示 “Network 
Access Protection Agent 属性 ”对 话 框 。 选 中 “定义 这 个 策略 设置 ” 复 选 框 ， 并 选择 “自动 ” 单 选 按钮 。 


图 16.29 打开 “Network Access Protection Agent 属性 ”对 话 框 


0 2 单 击 “ 确 定 ”按钮 ， 保 存 设置 。 


16.4.6 应 用 IPSec 策略 设置 


将 IPSec 强制 安全 策略 应 用 到 网 络 之 前 ,必须 先 在 实验 环境 中 进行 测试 , 确认 生效 后 方 可 
大 规模 应 用 。NPS 会 对 登录 域 的 客户 端 计算 机 进行 健康 评估 ， 如 果 符 合 策略 要 求 ， 可 以 正常 
使 用 网 络 中 的 资源 , 否则 将 被 隔离 , 直至 恢复 健康 状态 。 除 此 之 外 ,IPSec 强制 还 可 以 与 Windows 
高 级 防火 墙 配合 使 用 ， 用 户 实现 特定 的 端 到 端 安全 通信 ， 适 合 安全 较 高 的 网 络 访问 。 


01 在 windows Server 2008 域 控制 器 上 ， 打 开 指定 GPO 的 “组 策略 管理 编辑 器 ”窗口 ， 依 次 展开 “计算 
机 配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “高 级 安全 Windows 防火 墙 ” 一 “高 级 安 
全 Windows 防火 墙 -LDAP” 如 图 16.30 所 示 。 

02 右 击 “ 高 级 安全 Windows 防火 墙 LDAP”， 在 快捷 菜单 中 选择 “属性 ”选项 ， 显 示 如 图 16.31 所 示 “ 高 
级 安全 Windows 防火 墙 -LDAP 属性 ”对 话 框 。 在 “ 域 配置 文件 ”选项 卡 中 ， 在 “防火 墙 状态 ”下 拉 菜 
单 中 选择 “启用 (推荐 ) ”选项 ， 在 “入 站 连接 ”下 拉 菜 单 中 选择 “阻止 ( 软 认 值 ) ”选项 ， 在 “出 站 连 
接 ” 下 拉 菜单 中 选择 “允许 (默认 值 ) ”选项 。 单 击 “确定 ”按钮 ， 保 存 配置 。 
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图 16.30 展开 “高 级 安全 Windows 防火 墙 LDAP” 图 16.31 “高 级 安全 Windows 防火 墙 LDAP 属性 ”对 话 框 


注意 “专用 配置 文件 ”和 “公用 配置 文件 ”选项 卡 中 的 设置 ， 与 “ 域 配置 文件 ”相同 ， 
此 处 不 复壮 述 。 


03 在 “高 级 安全 Windows 防火 墙 LDAP” 中 ， 右 击 “ 连 接 安全 规则 ”并 在 快捷 菜单 中 选择 “新 规则 ” 选 
项 。 显示“ 规则 类 型 ”对 话 框 ， 选择“ 隔离 ” 单 选 按钮 。 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 16.32 所 示 “ 要 
求 ” 对 话 框 ， 选 择 “ 入 站 和 出 站 连接 请 求 身份 验证 ” 单 选 按钮 。 


16.32 打开 “要 求 ”对 话 框 


04 单 击 “下 一 步 ” 按钮 ， 显 示 如 图 16.33 所 示 “ 身 份 验证 方法 ”对 话 框 。 选 择 “计算 机 证 书 ” 单 选 按钮 ， 
然后 单 击 “ 浏 览 ”按钮 ， 查 看 并 选择 所 使 用 的 证 书 ， 并 选中 “只 接受 健康 证 书 ” 复 选 框 。 
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图 16.33 “身份 验证 方法 ”对 话 框 


05 依次 单 击 “ 下 一 步 ” 按钮 ， 设 置 配 置 文件 类 型 和 名 称 ， 如 图 16.34 所 示 。 在 “配置 文件 ”对 话 框 中 ， 选 
中 “ 域 "”“ 专 有 ”和 “公用 ” 复 选 框 。 在 “名 称 ” 对 话 框 ， 设 置 防火 墙 规则 名 称 和 描述 信息 。 


图 16.34 配置 文件 类 型 和 规则 名 称 


0 6 单 击 “ 完 成 ”按钮 ， 完 成 新 规则 的 配置 。 


在 创建 完 边界 网 络 GPO 后 , 需要 将 其 应 用 于 边界 网 络 OU 或 安全 组 ,在 应 用 边界 网 络 GPO 
到 边界 网 络 安全 组 或 OU 后 ， 需 要 完成 如 下 工作 : 


里 确保 边界 网 络 中 的 更 新 服务 器 能 够 收 到 边界 网 络 GPO 设置 ， 并 且 拥有 为 入 站 和 出 站 通 
讯 请 求 PSec 保护 的 连接 安全 规则 ; 

里 如 果 更 新 服务 器 可 以 收 到 边界 网 络 GPO 的 设置 ， 确 保 更 新 服务 器 可 以 建立 与 NAP 客 
户 端 和 非 域 成 员 计算 机 的 通信 ， 并 且 NAP 客户 端 和 非 域 成 员 计算 机 可 以 建立 与 更 新 服 
务 器 的 通信 。 


在 该 阶段 的 NAP 客户 端 、 非 域 成 员 计 算 机 和 更 新 服务 器 之 间 的 通信 应 该 清除 文本 。 更 新 
服务 器 上 的 IPSec 策略 将 会 尝试 越过 IPSec 保护 ， 但 是 允许 回 退 清除 入 站 和 出 站 通信 尝试 。 


Au 
属 Windows Server 2008 系统 安全 管理 实战 指南 


16.5 ”配置 DHCP 强制 


DHCP 服务 器 是 企业 网 络 中 的 必 备 角色 ， 其 功能 就 是 为 入 网 用 户 分 配 当前 局 域 网 中 的 人 P 
地 址 ， 使 其 可 以 访问 网 络 中 的 资源 。DHCP 强制 需要 在 DHCP 服务 器 上 启用 NAP 功能 ， 在 分 
配 卫 之 前 ， 需 对 客户 端 健康 进行 评估 。 如 果 达 到 要 求 则 允许 访问 所 有 网 络 资源 ， 否 则 ， 为 其 
分 配 仅 应 用 于 修补 网 络 的 他 地 址 ， 直 到 达到 健康 标准 。 


16.5.1 修改 DHCP 相关 选项 


当 DHCP 服务 器 被 配置 为 NPS 服务 器 时 原 有 的 DHCP 服务 器 将 被 新 的 包含 NPS 功能 的 
组 件 所 取代 ， 管 理 员 需 对 NPS 服务 器 涉及 的 DHCP 选项 进行 重新 配置 。 


1. 配置 作用 域 


NPS 安装 完成 后 ， 在 DHCP 作用 域 属性 中 ， 添 加 了 一 项 “网 络 访问 保护 ”选项 卡 ， 默 认 
情况 下 ， 该 设置 没有 被 启用 ， 需 要 管理 员 启用 该 设置 。 
01 选择 “开始 ”一 “管理 工具 ”一 “DHCP ”命令 ， 打 开 “DHCP 控制 人 ”窗口 。 依 次 选择 
“win-91e1qh63qh63szj.corp.contoso.com” 一 “IPv4” 选 项 ， 打 开 当 前 DHCP 上 的 所 有 作用 域 。 右 击 
想 要 配置 网 络 安全 防护 的 作用 域 ， 在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 显 示 如 图 16.35 所 示 “ 作 用 
域 [192.168.30.0] company 属性 ”对 话 框 。 


ERNE 


外 中 | =| 和 5 有 


| | RM 访问 保护 | 高 涩 | 
人 用 
fas) 
Wwe ut) 12 -16 3 .150 
甘 琳 JP 地 引 @E) | 152 .168 . 30 .180 


， 4 FE。，[ 攻 HE 4 
= ; 


| 
图 16.35 打开 “作用 域 [192.168.30.0] company 属性 ”对 话 框 
四 2 切换 至 “网 络 访问 保护 ”选项 卡 ， 在 “网 络 访问 保护 设置 ”选项 框 中 ， 选 中 “对 此 作用 域 启用 ” 单 选 按 
钮 ， 如 图 16.36 所 示 。 
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作用 域 [192. 168. 30.0] conpany 攻 尾 


图 16.36 “网 络 访问 保护 ”选项 卡 
3 单 击 “确定” 按钮， 保存 设置 并 退出 。 


提示 。 Windows Server 2008 服务 器 同时 提供 IPv6 下 的 DHCP 服务 ， 则 还 需要 在 IPv6 的 
所 有 作用 域 中 ， 执 行 相 同 操作 。 


2. 配置 服务 器 选项 


设置 服务 器 选项 , 在 为 状态 不 良 的 客户 端 计算 机 提供 租约 时 , 会 使 用 这 组 特殊 的 作用 域 选 
项 (DNS 服务 器 、DNS 域名 、 路 由 器 等 )。 例 如 提供 给 状态 良好 的 客户 端的 默认 DNS 后 组 为 
“company.com”， 而 提供 给 状态 不 良 的 客户 端的 DNS 后 缀 为 “Testcoolpen.com ”。 


01 在 “DHCP” 管 理 窗口 中 ,选择 “DHCP” 一 “WIN-91E1QH63SZJ.corp.contoso.com (服务 器 名 ) ”一 
“IPv4” 一 “服务 器 选项 ”选项 ， 右 击 “ 服 务 器 选项 ”选项 ， 在 弹出 的 快捷 菜单 中 的 选择 “配置 选项 ” 
命令 ， 显 示 如 图 16.37 所 示 “ 服 务 器 选项 ”对 话 框 。 

0 2 切换 至 “高 级 ”选项 卡 ， 在 “供应 商 类 别 ” 下 拉 列 表 中 ， 选择“DHCP 标准 选项 ”选项 ， 在 “用 户 类 别 ” 
下 拉 列表 中 ， 选 择 “ 黑 认 的 网 络 访问 保护 级 别 ” 选 项 ， 如 图 16.38 所 示 。 
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取消 应 用 同 


图 16.37 “服务 器 选项 ”对 话 杠 图 16.38 “高 级 ”选项 卡 
03 在 “可 用 选项 ”列表 中 ， 选 中 “003 路 由 器 ” 复 选 框 ， 在 “IP 地 址 ”文本 框 中 ， 输 入 网 络 中 路 由 器 使 用 
的 IP 地 址 , 例如 192.168.2.3， 单 击 “添加” 按钮。 如 果 网 络 中 有 多 个 路 由 器 ， 可 以 再 次 添加 。 如 果 发 
现 路 由 器 的 顺序 错误 ， 可 以 单 击 “ 下 移 ” 或 者 “上 移 ” 按 钮 ， 调 整 路 由 器 的 顺序 ， 如 图 16.39 所 示 。 
04 在 “可 用 选项 ”列表 中 ， 选 择 “006 DNS 服务 器 ” 复 选 框 ， 在 “IP 地 址 ”文本 框 中 ， 输 入 网 络 中 DNS 
服务 器 使 用 的 IP 地 址 ， 单 击 “ 添 加 ”按钮 。 如 果 网 络 


Ph 有 多 个 DNS， 可 以 逐次 添加 。 如 果 发 现 DNS 
服务 器 的 顺序 错误 ， 可 以 单 击 “ 下 移 ” 或 者 “上 移 ” 按钮 ， 调 束 DNS 服务 器 的 顺序 ， 如 图 16.40 所 示 。 
服务 器 计 项 EE 
常规 。 就 级 | 
HE no Wwe 机 加 
用 户 类 别 0); 保护 加 出 用 户 类 别 中 和 etwalt Network Access Protection 加 | 
避 3 a 
口 oos 名 和 服务 和 按 优 和 顺序 排列 的 
加 os I 服务 器 和 哺 取 拓 3 
M7 月 二 最 条 器 子 网 上 的 TT 号 站 
4 上 
反而 
服务 器 名 人 G) ; 
二 
了 ? 地址 中); 
添加 中) 
192 168 .2 2 条 
|202. 99. 166. 4 向 Ew) 
向 Fo) 
[了 | 


16.39 003 路 由 器 


16.40 006 DNS 服务 器 
05 在 “可 用 选项 ”列表 中 , 选择 “015 DNS 域名 ” 复 选 框 ， 在 “数据 项 ”选项 框 的 “字符 下 


人 值 ”文本 框 中 ， 
输入 临时 的 DNS 域名 ， 如 图 16.41 所 示 。 
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F E 

口 ol4 现场 转 储 文件 地 障 转 储 文 件 的 绽 径 一 

回 015 Ds 域名 Ps 
MR 六 撞 服务 加 | 

4 » 

数据 项 

字符 昌 值 6) ; 


testcoolpen net 


图 16.41 015 DNS 域名 
06 单 击 “确定 ”按钮 ， 完 成 服务 器 选项 的 设置 。 


提示 临时 域 的 域名 和 DHCP 安装 过 程 创 建 的 域名 不 同 ， 没 有 实际 的 作用 ， 只 是 方便 网 
县 络 管理 员 区 分 连 到 网 络 中 的 计算 机 ,哪些 是 安全 的 ,哪些 是 不 安全 的 。 例 如 如 果 计 


算 机 是 安全 的 ， 则 使 用 company.com 域名 ; 如 果 计 算 机 不 是 安全 的 ， 使 用 这 里 指 
定 的 Testcoolpen.com 域名 。 


16.5.2 配置 NPS 策略 


NPS 服务 器 由 4 个 主要 组 件 组 成 : 网 络 健康 验证 器 、 更 新 服务 器 组 、 系 统 健康 策略 模板 
和 网 络 策略 。 
1. 设置 网 络 健康 验证 器 


通过 网 络 健康 验证 器 策略 , 可 以 检测 连接 到 网 络 中 的 计算 机 是 否 安全 , 例如 没有 开启 自动 
更 新 的 计算 机 就 认为 不 安全 、 没 有 安全 防 病毒 软件 就 是 不 安全 的 计算 机 等 。 


始 ”一 “管理 工具 ”一 “网 络 策略 服务 器 ”命令 ， 打 开 “ 网 络 策略 服务 器 ”窗口 。 选 择 “NPS 
(本 地 ) ”一 “网 络 访问 保护 ”一 “系统 健康 验证 器 ”选项 ， 右 击 “Windows 安全 健康 验证 程序 ”选项 ， 
在 弹出 的 快捷 菜单 中 选择 “属性 ”命令 ， 打 天 


fF 如 图 16.42 所 示 “Windows 安全 健康 验证 程序 属性 ”对 
话 框 。 

(02 单 击 “配置 ” 按钮， 显示 如 图 16.43 所 示 “Windows 安全 健康 验证 程序 ”对 话 框 ， 选 中 需要 健康 检测 内 
容 的 复 选 框 。 
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wn | en — 
图 16.42 “Windows 安全 健康 验证 程序 属性 ”对 话 杠 图 16.43 Windows 系统 健康 验证 程序 


03 单 击 “确定 ” 按钮， 保存 配 置 。 


2. 配置 更 新 服务 器 组 


配置 更 新 服务 器 组 可 以 使 状态 不 良 的 计算 机 访问 网 络 资源 ,包括 WSUS 或 SMS 服务 器 等 。 
头盖骨 访问 定义 的 系统 ， 使 受 限 制 的 计算 机 恢复 到 正常 状态 。 


01 在 “网 络 策略 服务 器 ”窗口 中 ， 依 次 展开 “NPS (本 地 ) ”一 “网 络 访问 保护 ”一 “更 新 服务 器 组 ” 选 
项 。 右 击 “ 更 新 服务 器 组 ”选项 ， 选 择 快捷 菜单 中 的 “新 建 ” 命令， 显示“ 新 建 更 新 服务 器 组 ”对 话 框 。 
在 “组 名 ”文本 框 中 ， 输 入 服务 器 组 的 名 称 ， 如 company。 单 击 “ 添 加 ”按钮 ， 显 示 如 图 16.44 所 示 
“添加 新 服务 器 ”对 话 框 。 在 “友好 名 称 ” 文 本 框 中 ， 输 入 目标 服务 器 的 标识 名 称 。 在 “IP 地 址 或 DNS 
名 称 ”文本 框 中 ,输入 当 验 证 客户 端 验证 不 能 通过 时 ， 需 要 到 目标 服务 器 进行 处 理 或 者 暂时 访问 的 目标 
服务 器 ， 可 以 使 用 IP 地 址 或 DNS 名称。 


组 名 (6) 
[re 
3 示 加 新 服务 下 
友好 名 称 四): 
zhangsan 
了 ? 地 址 或 DS 名 称 人 中 ); 
[em 
着 要 使 用 I 地 址 标识 服务 器 ， 请 从 以 下 列表 选择 一 个 IP 地 址 。 
理 地 址 加 ): 
192. 168.30.170 
| 


图 16.44 ”打开 “添加 新 服务 器 ”对 话 杠 
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0 2 依次 单 击 “ 确 定 ” 按钮， 返回“ 网 络 策略 服务 器 ”窗口 ， 即 可 看 到 成 功 创建 的 更 新 服务 器 组 。 


3. 配置 系统 健康 策略 模板 


使 用 系统 健康 策略 模板 来 评估 客户 端 计算 机 是 否 健康 , 验证 模板 会 获取 SHV 检查 的 结果 ， 
根据 计算 机 是 否 通过 其 中 的 一 项 或 多 项 检查 ， 确 定 其 运行 状态 是 否 良好 。 


1 在 “网 络 策略 服务 器 ”窗口 中 ， 选 择 “NPS (本 地 ) ”一 “策略 ”一 “健康 策略 ”选项 ， 显 示 “ 健 康 策 
略 ”窗口 。 右 击 “ 健 康 策 略 ” 选 项 ， 在 弹出 的 快捷 菜单 中 选择 “新 建 ”命令 ， 显 示 如 图 16.45 所 示 “ 新 
建 健康 策略 ”对 话 框 。 在 “策略 名 称 ”文本 框 中 ， 输 入 健康 策略 的 名 称 ， 如 安全 策略 。 在 “客户 端 SHV 
检查 ”下 拉 列 表 中 ， 选 择 “ 客 户 端 通过 了 所 有 SHV 检查 ”选项 。 在 “此 健康 策略 中 使 用 的 SHV” 列 表 
中 ， 选 中 “Windows 安全 健康 验证 程序 ” 复 选 框 即 可 。 

0 2 按照 相同 的 操作 ， 再 创建 一 条 判断 计算 机 为 不 安全 计算 机 的 策略 ， 如 图 16.46 所 示 。 根 据 实际 需要 ， 在 
“客户 端 SHV 检查 ”下 拉 列表 中 选择 相应 级 别 的 标准 ， 如 “客户 端 未 能 通过 一 个 或 多 个 SHV 检查 ”等 。 


ETITTB 


客户 消 Sm 检查 0 - 


次 户 尖 通 过 了 所 有 SxY 检查 司 
此 健康 请 赂 中 使 用 的 SKY 0)- 


回 Windors 安全 健康 验证 程序 


Cw | enw CE ] ww | smw | 


图 16.45 打开 “新 建 健康 策略 ”对 话 框 图 16.46 创建 不 安全 策略 


03 单 击 “确定 ” 按钮， 关闭“ 新 建 健康 策略 ”对 话 框 。 已 经 创建 的 “安全 策略 ”和 “不 安全 策略 ” 即 可 显 
示 在 “健康 策略 ”列表 中 。 


4. 配置 网 络 策略 


管理 员 定 义 网 络 策略 ， 根 据 计算 机 运行 状况 确定 如 何 对 其 进行 处 理 。NPS 会 从 上 到 下 执 
行 启用 的 所 有 策略 。 在 配置 健康 策略 模板 时 ， 创 建 了 “安全 策略 ”和 “不 安全 策略 ”， 接 下 来 
将 这 两 条 健康 策略 应 用 到 实际 网 络 环境 中 。 


略 ” 选项 ， 在 弹出 的 快捷 菜单 中 的 选择 “新 建 ”命令 ， 显 示 如 图 16.47 所 示 “ 指 定 网 络 策略 名 称 和 连接 


449 


Au 
属 Windows Server 2008 系统 安全 管理 实战 指南 


类 型 ”对 活 框 。 在 “策略 名 称 ”文本 框 中 输入 合适 的 名 称 ， 选 择 “ 网 络 访问 服务 器 类 型 ” 单 选 按钮 ， 在 
下 拉 列 表 中 选择 “DHCP 服务 器 ”选项 。 

2 单 击 “ 下 一 步 ”按钮 ， 显 示 “ 指 定 条 件 ”对 话 框 ， 继 续 单 击 “ 添 加 ”按钮 ， 显 示 如 图 16.48 所 示 “ 指 定 
条 件 ” 对 话 框 ， 在 条 件 列表 中 选择 “健康 策略 ” 即 可 使 用 已 经 创建 的 健康 策略 。 


EEEEET 区 EEEEE s 可 | 
指定 网 络 策略 名 称 和 连接 类 型 指定 条 件 
;En 8 了 指 宅 一 个 了 和 要 站 导入 当 型 > Eq 于 古人 和 二 二 入 有 和 开本。 芋 浊 一 个 全， 
第 网 名 称 OA 
| 
RR 一 一 -一 一 - 
先世 向 寻 ; 发 关连 接 请 否 络 访 辐 务 嘲 夫 弄 ”起 本 以 这 全 站 络 访 辣 要务 呈 志江， 也 本 以 过 秤 代 应 再 从 二 的 闪 弄 ， 
网 丫 访 则 用 条 亲朋 大 型) NS saw 要 
[ry BN 到 ee DHCP 作 肌 城内 的 矶 四 租 同 ， 该 CHCP 作用 与 这 十 四 
EE 
马 Nt 
古 车 于 | 
wn 
Eon 
图 16.47 “指定 网 络 策略 名 称 和 连接 类 型 ”对 话 框 图 16.48 “指定 条 件 ”对 话 框 


03 单 击 “ 添 加 ”按钮 ， 显 示 如 图 16.49 所 示 “ 健 康 策略 ”对 话 框 ， 在 “健康 策略 ”下 拉 列 表 中 ， 选 择 想 要 
应 用 的 策略 即 可 。 单 击 “ 确 定 ”按钮 ， 添 加 到 “指定 条 件 ”对 话 框 中 。 再 次 执行 相同 的 操作 ， 还 可 以 添 
加 其 他 策略 或 条 件 。 

04 依次 单 击 “ 下 一 步 ” 按钮， 设置 访问 权限 和 身份 验证 方法 ， 如 图 16.50 所 示 。 在 “指定 访问 权限 ”对 话 
框 中 ， 如 果 符合 条 件 中 健康 策略 的 判定 标准 ， 要 授予 网 络 访问 权限 还 是 要 拒绝 网 络 访问 。 这 里 选中 “已 
授予 访问 权限 ” 单 选 按钮 ， 即 通过 健康 策略 验证 的 客户 端 均 可 正常 访问 DHCP 服务 器 。 在 “配置 身份 
验证 方法 ”对 话 框 中 ， 本 例 使 用 Windows 系统 健康 程序 对 客户 端 计算 机 进行 验证 ， 因 此 只 选中 “ 仅 执 
行 计算 机 健康 检查 ” 复 选 框 即 可 。 


指定 访问 权限 
BY ers casmrneoorrasreomeon- 


< BR 配置 身份 验证 方法 
Cs Eb tL ni 如 才 卫 时 


EN SON ES 
让 
sR 


a 
i 
3 
健康 第 本 四 和 二 二 | 
选择 要 强制 岂 行 的 健康 弟 咯 。 若 要 新 建 健康 沫 咯 ， 请 单 击 新 建 "。 
健康 弟 申 人 
[| 
上 
P= | 旺 
图 16.49 “健康 策略 ”对 话 框 图 16.50 指定 访问 权限 和 身份 验证 方法 
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05 依次 单 击 “ 下 一 步 ” 按钮， 设置 约束 条 件 和 其 他 选项 ， 如 图 16.51 所 示 。 在 “配置 约束 ”对 话 框 中 ， 进 
行进 一 步 设置 ， 包 括 连 接 超 时 限制 等 。 在 “配置 设置 ”对 话 框 中 ， 根 据 实际 需要 进行 相关 设置 即 可 ， 也 
可 以 使 用 默认 设置 。 


EE 


配置 约束 
WN se 
配置 设置 


ee 


四. | WH | PPD 


上 上 em EN 
图 16.51 设置 约束 条 件 和 其 他 选项 


06 单 击 “ 下 一 步 ” 按钮， 显示“ 正在 完成 新 建 网 络 策略 ”对 话 框 ， 单 击 “ 完 成 ”按钮 ， 返 回 “ 网 络 策略 服 
务 器 ”窗口 ， 如 图 16.52 所 示 。 


0 i 


已 Ss50 
已 交 6969 。 折光 直 


按照 上 述 配置 ,符合 “安全 策略 ”验证 要 求 的 客户 端 ， 可 以 享有 正常 的 访问 权限 ,但 并 不 
会 对 不 符合 要 求 的 客户 端 进行 任何 修复 或 整理 操作 ， 因 此 还 需要 将 “不 安全 策略 ”应 用 到 网 络 
策略 中 。 操作 方法 与 前 面 完全 相同 。 但 当 运行 至 如 图 16.53 所 示 “ 配 置 设置 ”步骤 时 , 选择 “网 
络 访问 保护 ”选项 中 的 “NAP 强制 ”选项 ， 在 右 侧 窗 格 中 选中 “允许 受 限 访问 ” 单 选 按钮 。 

单 击 “ 配 置 ”按钮 ， 显 示 如 图 16.54 所 示 “ 更 新 服务 器 和 疑难 解答 URL” 对 话 框 。 在 “更 
新 服务 器 组 ”下 拉 列 表 项 中 ， 选 择 此 类 型 受 限 客户 端 多 许 访问 的 服务 器 组 。“ 疑难 解答 URL” 
是 方便 来 访 用 户 了 解 网 络 访问 策略 要 求 的 公告 性 网 页 或 文本 ， 用 户 可 根据 需要 自 定义 。 
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图 16.53 “配置 设置 ”对 话 框 图 16.54 “更 新 服务 器 和 疑难 解答 URL” 对 话 杠 


16.5.3 配置 DHCP 强制 客户 端 


DHCP 强制 客户 端的 配置 过 程 与 IPSec 强制 客户 端 类 似 ， 不 同 的 是 ， 在 配置 NAP 客户 端 
代理 组 件 时 ， 应 启用 “DHCP 隔离 强制 客户 端 ”选项 ， 如 图 16.55 所 示 。 其 他 配置 操作 完全 相 
同 ， 此 处 不 复 獒 述 。 


图 16.55 启用 “DHCP 隔离 强制 客户 端 ” 


16.5.4 ”测试 DHCP 强制 


如 果 客 户 端 在 没有 开启 系统 防火 墙 或 者 没有 开启 自动 更 新 的 情况 下 , 登录 域 控制 器 后 , 任 
务 栏 中 会 提示 “此 计算 机 不 符合 该 网 络 策略 的 要 求 ”。 说 明 NAP 服务 器 开始 发 挥 作用 了 。 此 
时 该 客户 端 不 能 继续 访问 网 络 中 的 某 些 服务 器 或 计算 机 。 单 击 提示 信息 ， 打 开 如 图 16.56 所 示 
“网 络 访问 保护 ”对 话 框 。 该 窗口 中 提示 当前 客户 端 未 能 通过 网 络 策略 检测 的 原因 ， 并 给 出 解 
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16.5.3 配置 DHCP 强制 客户 端 
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16.5.4 ”测试 DHCP 强制 


如 果 客 户 端 在 没有 开启 系统 防火 墙 或 者 没有 开启 自动 更 新 的 情况 下 , 登录 域 控制 器 后 , 任 
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决 问题 的 方案 。 这 些 提示 方法 就 是 系统 健康 策略 模板 中 管理 员 设 定 的 处 理 操作 。 


3 [se 


入 的 计算 机 不 符合 该 网 络 的 要 求 
Ld 更 新 计算 机 之 前 ,网 阁 访 问 弘 限 杰 限 制 。 请 单 主 “ 重 添 ”。 


图 Windows 安全 妇 康 f 理 
Microsoft Corporation 
Windows 安全 让 事 代理 习 理 计算 机 与 管理 员 宇 义 的 条 于 是 示 行 合 。 
后 本 : 10 ,ID 79744 


Windows 安全 键 束 代 更 未 蓄 更 新 这 台 计 算 机 的 安全 状态 。 


售 正 结果 
Windows 没有 性 讽 到 与 Windows 安全 中 心 英 窑 的 沪 病 吾 肆 序 、 


管理 员 必 须 打开 会 动 更 新 


CE | 


图 16.56 不 符合 策略 要 求 的 客户 端 提示 信息 
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统 升 级 到 最 新 等 。 处 理 完毕 后 ， 任 务 栏 中 会 提示 “此 计算 机 符合 该 网 络 的 要 求 "。 单 击 提示 信 
息 ， 会 显示 如 图 16.57 所 示 “ 网 络 访问 保护 ”对 话 框 ， 已 具有 完全 的 网 络 访问 权限 。 
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Microsoft Corporation 
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Windows 安全 健 款 代理 已 充 成 更 新 其 安全 杖 坟 。 


-Ee 
ee 


图 16.57 符合 网 络 策略 要 求 时 的 提示 信息 


16.6 ”配置 VPN 强制 


VPN (Virtual Private Network， 虚 拟 专用 网 ) 是 目前 常用 的 远程 访问 技术 之 一 ， 主 要 特点 
就 是 传输 安全 性 高 ， 机 制 灵活 。 管 理 员 可 以 借助 Windows Server 2008 提供 的 “路 由 和 远程 访 
问 ” 服 务 ， 搭建 和 配置 远程 访问 服务 器 ,该 角色 默认 并 未 安装 。 用户 可 以 根据 自己 的 需要 选择 
同时 安装 网 络 策略 和 访问 服务 中 的 所 有 服务 组 件 ， 或 者 只 安装 路 由 和 远程 访问 服务 。 


453 


Ag 
属 Windows Server 2008 系统 安全 管理 实战 指南 


16.6.1 远程 访问 VPN 服务 器 的 配置 


VPN 服务 器 是 VPN 强制 系统 中 的 重要 角色 。 默 认 情况 下 ，VPN 服务 器 可 以 对 远程 用 户 
的 拨 入 请 求 进行 简单 的 身份 验证 ， 如 验证 用 户 名 、 密 码 等 。 如 果 与 NPS 服务 器 配合 使 用 ， 需 
要 对 其 身份 验证 方式 进行 修改 ， 使 其 将 身份 验证 请 求 发 送 到 NPS 服务 器 ， 从 而 实现 联合 工作 。 


1. 安装 和 配置 远程 访问 VPN 服务 器 


VPN 服务 器 用 来 提供 拨 入 功能 ， 供 远程 计算 机 用 户 拨 入 公司 局 域 网 。 不 过 ，VPN 服务 可 
以 与 网 络 策略 服务 器 配合 使 用 , 对 拨 入 的 客户 端 用 户 进行 验证 , 只 允许 通过 网 络 安全 验证 的 计 
算 机 才 人 允许 访问 网 络 。VPN 服务 器 上 需要 安装 两 块 网 卡 ， 一 块 网 卡 设置 内 网 地 址 ， 用 来 连接 
局 域 网 ， 另 一 块 设置 公 网 地 址 ， 用 来 连接 Internet。 


1 运行 “添加 角色 向 导 ” 链 接 ， 在 “选择 服务 器 角色 ”对 话 框 中 ， 选 择 “网 络 策略 和 访问 服务 ”角色 。 依 
次 单 击 “ 下 一 步 ” 按 钮 ， 在 “选择 角色 服务 ”对 话 框 中 ， 选 中 “网 络 策略 服务 器 ”和 “路 由 和 远程 访问 
服务 ” 复 选 框 ， 其 他 选项 保持 默认 即 可 ， 直 至 安装 完成 。 如 图 16.58 所 示 。 
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图 16.58 安装 路 由 和 远程 访问 服务 


0 2 安装 完成 的 “路 由 和 远程 访问 服务 ”是 禁用 的 ， 需 要 管理 员 手动 启用 并 配置 。 依 次 单 击 “ 开 始 ” 一 “ 管 
理工 具 ” 一 “路 由 和 远程 访问 ”打开 “《 路 由 和 远程 访问 ”控制 合 窗口 ， 默 认 是 未 配置 的 ， 右 击 服务 器 
名 并 选择 “配置 并 启用 路 由 和 远程 访问 ”% 即 可 启动 路 由 和 远程 访问 服务 器 安装 向 导 。 依 次 单 击 “ 下 一 
步 ” 按 钮 ， 设 置 远程 访问 方法 和 类 型 ， 如 图 16.59 所 示 。 
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《上 - 步 吧 了 清 


图 16.59 配置 远程 访问 方法 和 类 型 


03 依次 单 击 “ 下 一 步 ”按钮 ,设置 VPN 远程 访问 服务 器 的 网 络 连接 和 IP 地 址 分 配方 式 , 如 图 16.60 所 示 。 
配置 VPN 远程 访问 服务 器 至 少 提供 两 块 网 卡 ， 即 一 块 连接 Internet， 相 应 远程 用 户 的 访问 ， 另 一 块 用 于 
连接 内 网 。 在 “网 络 接口 ”列表 中 选择 此 服务 连接 到 Internet 的 连接 即 可 。 管 理 员 可 以 指定 远程 客户 端 
获得 IP 地址 的 方式 ， 如 果 本 地 网 络 中 已 经 配置 DHCP 服务 器 ， 可 以 选择 “自动 ”方式 ， 客 户 端 可 以 从 
DHCP 服务 器 获得 内 网 IP 地 址 。 否 则 ， 可 以 选择 “来 自 一 个 指定 的 地 址 范围 ” 单 选 按钮 。 
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图 16.60 ”VPN 连接 IP 地址 分 配 


04 单 击 “ 下 一 步 ”按钮 显示 “管理 多 个 远程 访问 服务 器 ”对 话 框 。 如 果 计划 在 专用 网 络 上 安装 多 个 VPN 
服务 器 、 无 线 访问 点 或 其 他 RADIUS 客户 端 ， 添 加 RADIUS 服务 器 非常 有 用 。 否 则 保留 默认 的 “ 否 ， 
使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ” 单 选 按钮 即 可 。 该 选择 将 服务 器 配置 为 使 用 Windows 
身份 验证 、Windows 记 账 和 本 地 存储 的 远程 访问 策略 ， 在 本 地 对 连接 请 求 进行 身份 验证 。 继 续 单 击 “ 下 
一 步 ” 按 钮 , 即 可 完成 VPN 服务 器 配置, 此 时 会 提示 用 户 在 设置 远程 访问 服务 器 以 后 , 需要 再 指定 DHCP 
服务 器 的 IP 地 址 。 如 图 16.61 所 示 。 
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连接 内 网 。 在 “网 络 接口 ”列表 中 选择 此 服务 连接 到 Internet 的 连接 即 可 。 管 理 员 可 以 指定 远程 客户 端 
获得 IP 地址 的 方式 ， 如 果 本 地 网 络 中 已 经 配置 DHCP 服务 器 ， 可 以 选择 “自动 ”方式 ， 客 户 端 可 以 从 
DHCP 服务 器 获得 内 网 IP 地 址 。 否 则 ， 可 以 选择 “来 自 一 个 指定 的 地 址 范围 ” 单 选 按钮 。 


YP 连接 理 地 址 分 本 
| 二 以 a5 时 客户 满分 如 了 把 直 的 万 去。 
选择 将 此 加 务 品 连 指 到 Tatornet 的 3 拘 擅 口 。 你 要 如 同 对 到 得 认 户 尖 分 本 匡 地 it? 
网 说 换 口 国 : B40 
观 [了 和， PE tm 人 
了 本 Iotal B) TEN/IODN ,122 16 2 16 局 a 


ET 
i 
‘L$0l[T-S "I 取 肖 


图 16.60 ”VPN 连接 IP 地址 分 配 


04 单 击 “ 下 一 步 ”按钮 显示 “管理 多 个 远程 访问 服务 器 ”对 话 框 。 如 果 计划 在 专用 网 络 上 安装 多 个 VPN 
服务 器 、 无 线 访问 点 或 其 他 RADIUS 客户 端 ， 添 加 RADIUS 服务 器 非常 有 用 。 否 则 保留 默认 的 “ 否 ， 
使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ” 单 选 按钮 即 可 。 该 选择 将 服务 器 配置 为 使 用 Windows 
身份 验证 、Windows 记 账 和 本 地 存储 的 远程 访问 策略 ， 在 本 地 对 连接 请 求 进行 身份 验证 。 继 续 单 击 “ 下 
一 步 ” 按 钮 , 即 可 完成 VPN 服务 器 配置, 此 时 会 提示 用 户 在 设置 远程 访问 服务 器 以 后 , 需要 再 指定 DHCP 
服务 器 的 IP 地 址 。 如 图 16.61 所 示 。 
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《上 - 步 吧 了 清 


图 16.59 配置 远程 访问 方法 和 类 型 


03 依次 单 击 “ 下 一 步 ”按钮 ,设置 VPN 远程 访问 服务 器 的 网 络 连接 和 IP 地 址 分 配方 式 , 如 图 16.60 所 示 。 
配置 VPN 远程 访问 服务 器 至 少 提供 两 块 网 卡 ， 即 一 块 连接 Internet， 相 应 远程 用 户 的 访问 ， 另 一 块 用 于 
连接 内 网 。 在 “网 络 接口 ”列表 中 选择 此 服务 连接 到 Internet 的 连接 即 可 。 管 理 员 可 以 指定 远程 客户 端 
获得 IP 地址 的 方式 ， 如 果 本 地 网 络 中 已 经 配置 DHCP 服务 器 ， 可 以 选择 “自动 ”方式 ， 客 户 端 可 以 从 
DHCP 服务 器 获得 内 网 IP 地 址 。 否 则 ， 可 以 选择 “来 自 一 个 指定 的 地 址 范围 ” 单 选 按钮 。 


YP 连接 理 地 址 分 本 
| 二 以 a5 时 客户 满分 如 了 把 直 的 万 去。 
选择 将 此 加 务 品 连 指 到 Tatornet 的 3 拘 擅 口 。 你 要 如 同 对 到 得 认 户 尖 分 本 匡 地 it? 
网 说 换 口 国 : B40 
观 [了 和， PE tm 人 
了 本 Iotal B) TEN/IODN ,122 16 2 16 局 a 


ET 
i 
‘L$0l[T-S "I 取 肖 


图 16.60 ”VPN 连接 IP 地址 分 配 


04 单 击 “ 下 一 步 ”按钮 显示 “管理 多 个 远程 访问 服务 器 ”对 话 框 。 如 果 计划 在 专用 网 络 上 安装 多 个 VPN 
服务 器 、 无 线 访问 点 或 其 他 RADIUS 客户 端 ， 添 加 RADIUS 服务 器 非常 有 用 。 否 则 保留 默认 的 “ 否 ， 
使 用 路 由 和 远程 访问 来 对 连接 请 求 进行 身份 验证 ” 单 选 按钮 即 可 。 该 选择 将 服务 器 配置 为 使 用 Windows 
身份 验证 、Windows 记 账 和 本 地 存储 的 远程 访问 策略 ， 在 本 地 对 连接 请 求 进行 身份 验证 。 继 续 单 击 “ 下 
一 步 ” 按 钮 , 即 可 完成 VPN 服务 器 配置, 此 时 会 提示 用 户 在 设置 远程 访问 服务 器 以 后 , 需要 再 指定 DHCP 
服务 器 的 IP 地 址 。 如 图 16.61 所 示 。 
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正在 守 志 由 由 和 区 程 访问 最 务 吕 安 半 向 号 


RT 
太 户 训 作 二 到 下 区 3 引导 寺 “本 地 这 接 - 


图 16.61 完成 VPN 远程 访问 服务 器 的 配置 


2. 赋予 用 户 拨 入 权限 


默认 状态 下 ，VPN 服务 器 禁止 所 有 用 户 拨 入 ,管理 员 需 要 对 特定 用 户 帐户 赋予 访问 权限 ， 
否则 将 无 法 正常 使 用 。 


01 依次 单 击 “ 开 始 ”一 “管理 工具 ”一 “Active Directory 用 户 和 计算 机 ”打开 “Active Directory 用 户 和 
计算 机 ”窗口 。 选 择 想 要 设置 拔 入 权限 的 用 户 帐 户 ， 右 击 并 选择 快捷 菜单 中 的 “属性 ”选项 ， 打 开 “ 用 
户 属性 ”对 话 框 ， 单 击 “ 拨 入 ”选项 卡 ， 在 “网 络 访问 权限 ”选项 区 域 中 选择 “允许 访问 ” 单 选 按钮 。 
如 图 16.62 所 示 。 


6 不 加 拔 驯 
个 由 | 方 设置 (路由 机 元 程 访问 最 务 ) @) 


区 C 多 mm: 
于 
Li 厂区 态 T 雪 DD ~ 
mm 
es ws -| 寡 X 更 KRX 过 的 SR 也 地 [ED 
襄 5eoteay ， 安 让 一 

i Fr 7 


和 六 主义 要 启 多 第 自 。 [sku) 


[CC 喧 ]_ | 晴 由 | 6 
图 16.62 赋予 用 户 拨 入 权限 
0 2 单 击 “ 确 定 ” 按 钮 保存 即 可 。 按 照 同样 步骤 ， 可 继续 为 其 他 用 户 启用 拨 入 功能 。 
提示 。“ 通 过 NPS 网 络 策略 控制 访问 ”是 要 求 VPN 客户 端 , 必须 通过 本 地 服务 器 或 当前 
4 网 络 中 的 网 络 策略 服务 器 的 身份 验证 ， 才 可 以 拨 入 。 没 有 配置 NPS 的 用 户 ， 直 接 
选择 “允许 拨 入 ” 单 选 按钮 即 可 。 


456 


第 16 章 Windows 网 络 访问 保护 im 


3. 配置 RAIDUS 身份 验证 


VPN 服务 器 配置 完毕 之 后 ， 应 确保 其 使 用 的 身份 验证 方法 为 可 扩展 的 身份 验证 协议 或 
Microsoft 加 密 身份 验证 版 本 2。 


01 在 “路 由 和 远程 访问 ”控制 合 中 ， 右 击 VPN 服务 器 名 ， 选 择 快捷 菜单 中 的 “属性 ”选项 ， 打 开 服务 器 
属性 对 话 框 。 选 择 “ 安 全 ”选项 卡 ， 确 认 在 “身份 验证 提供 程序 ”下 拉 列 表 中 选择 “RADIUS 身份 验证 ” 
选项 。 单 击 “ 身 份 验证 方法 ”按钮 ， 显 示 “ 身 份 验证 方法 ”对 话 框 ， 确 保 已 选中 “可 扩展 的 身份 验证 协 
议 ” 或 “Microsoft 加 密 身份 验证 版 本 2” 复 选 框 。 如 图 16.63 所 示 。 


bE -一 | me | B 志 记录 | J 
地 ) 展 性 | 
ie 二 
案 坑 ”安全 |m4 |Ime | 18 过 记录 | 


5 局 59 和 请 求 C2 
厂 Tv6 路 由 器 @) 
6 WABI LA 
© im 
厅 IPm 远程 沪 问 服 # 
厂 Pw 运程 访问 慑 # 


大 or 计生 加 从) 多 


EL 厂 未 和 EE 的 密码 OX) 加 
有 关 活 组 信息 
| - 末 和 身份 证 的 访问 
厂 允许 远程 系统 不 既 过 身份 验证 而 连接 @) 
有 关 洋 细 信 息 。 | Si 
辐 CREJj_w | 


16.63 配置 RAIDUS 身份 验证 
2 依次 单 击 “ 确 定 ”按钮 ， 保 存 并 返回 “路 由 和 远程 访问 ”窗口 。 


16.6.2 配置 NPS 


网 络 访问 策略 服务 器 负责 制定 健康 策略 , 对 远程 拨 入 的 计算 机 进行 检查 , 如 果 远 程 计算 机 
符合 策略 要 求 就 允许 访问 ， 否 则 就 会 访问 受 限 。 通 常情 况 下 ， 用 户 需 要 对 现 有 NPS 进行 如 下 
配置 : 

四 申请 计算 机 验证 证 书 ; 

m 配置 网 络 访问 策略 ; 

m 配置 系统 健康 验证 器 ; 

旧 为 RADIUS 客户 端 配置 NPA 支持 。 


1. 申请 计算 机 验证 证 书 


在 NPS 服务 器 上 打开 控制 台 窗口 ， 添 加 “证 书 ”管理 单元 。 不 过 ， 在 选择 帐户 时 应 选择 
“计算 机 帐户 ” 单 选 按钮 。 将 证 书 管理 单元 添加 到 控制 台中 以 后 ， 展 开 “ 证 书 ” 右 击 “个 人 ” 
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并 选择 快捷 菜单 中 的 “所 有 任务 ”一 “申请 新 证 书 ” 启动 “证 书 注册 ”向 导 ， 用 来 申请 验证 
证 书 。 依 次 单 击 “ 下 一 步 ”按钮 ， 完 成 证 书 申请 和 注册 。 如 图 16.64 所 示 。 单 击 “ 完 成 ”按钮 ， 
证 书 安装 成 功 ， 并 显示 在 “证 书 管理 单元 ”中 。 


该 管理 单元 将 始 终 为 下 列 盯 户 管理 让 书 


玉 服务 于 户 G) 。 -正本 
° EFD 


出 户 昌 ii 
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ST ER 
ia 
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iu M33 ET 
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图 16.64 证 书 申请 注册 
提示 如果 证 书 服务 器 上 安装 了 “证 书 服务 Web 注册 ”功能 ， 也 可 以 通过 IE 浏览 器 来 申 


4 请 证 书 。 


2. 配置 网 络 访问 策略 
为 VPN 强制 配置 网 络 访问 策略 ， 可 通过 “配置 NAP” 向 导 来 完成 。 


0 十 依次 选择 “开始 ”一 “管理 工具 ”一 “网 络 策略 服务 器 ” 打开 “网 络 策略 服务 器 ”窗口 ， 在 右 侧 窗口 

的 “标准 配置 ”下 拉 列 表 中 ， 选 择 “ 网 络 访问 保护 (NAP) ”选项 ， 单 击 “ 配 置 NAP” 链 接 ， 启 动 配置 

NAP 向 导 。 在 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”对 话 框 中 ， 从 下 拉 列 表 中 选择 “虚拟 专用 网 络 
(VPN)” 选 项， 并 在 “策略 名 称 ”文本 框 中 为 该 策略 输入 一 个 名 称 ， 如 图 16.65 所 示 。 


对 撞 人 W 二 和 四 
I J 


Er 


有 选择 与 NAP 一 起 使 用 的 网 络 连 接 方 法 


ET 一 
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OD 全 可 作用 法 广 本 或 从 站 它 。 
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图 16.65 打开 “选择 与 NAP 一 起 使 用 的 网 络 连接 方法 ”对 话 框 
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0 2 单 击 “ 下 一 步 ” 按钮 ， 显 示 “ 指 定 NAP 强制 服务 器 运行 VPN 服务 器 ”对 话 框 ， 需 要 添加 RADIUS 客 
户 端 。 在 这 里 ，RADIUS 服务 器 就 是 当前 的 NPS 服务 器 ， 而 RADIUS 客户 端 则 是 VPN 服务 器 。 必 须 
将 RADIUS 客户 端 添加 到 当前 服务 器 ， 双 方才 能 建立 连接 。 单 击 “ 添 加 ”按钮 ， 显 示 “ 新 建 RADIUS 
客户 端 ”对 话 框 。 在 “友好 名 称 ”文本 框 中 输入 一 个 名 称 ， 在 “地 址 (IP 或 DNS)” 文本 框 中 输入 VPN 
服务 器 的 IP 地 址 ， 如 果 输 入 的 是 计算 机 名 ， 应 单 击 “验证 ”按钮 进行 验证 。 在 “共享 机 密 ” 文 本 框 中 
输入 相应 的 密码 。 如 图 16.66 所 示 。 


到 指定 NAP 强制 服务 器 运行 VPN 服务 器 
et me r 
加 果 要 村 还 理 Wh 陡 条 水 加 为 MINS 窜 户 洲 , 清单 而 “法 加 ”。 |: 
aous 末 Pa | 
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EE | Eu 
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图 16.66 打开 “新 建 RADIUS 客户 端 ” 对 话 杠 


03 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 16.67 所 示 “ 配 置 用 户 组 和 计算 机 组 ”对 话 框 ， 根 据 需要 添加 要 人 允许 或 
拒绝 访问 的 计算 机 组 或 用 户 组 。 如 果 不 选择 ， 将 对 所 有 计算 机 组 和 用 户 组 有 效 。 

04 单 击 “ 下 一 步 ” 按钮 ， 显 示 如 图 16.68 所 示 “ 配 置身 份 验证 方法 ”对 话 框 ， 为 受 保护 的 可 扩展 身份 验证 
协议 (PEAP) 选择 NPS 服务 器 证 书 , 即 前 面 所 申请 的 证 书 。 根 据 需要 选择 “安全 密码 (PEAP-MS-CHAP 
v2)” 或 者 “智能 卡 或 其 他 证 书 (EAP-TLS) ”选项 。 需 要 注意 的 是 ，VPN 服务 器 、NPS 服务 器 和 客户 
端 必须 设置 为 完全 相同 的 身份 验证 方式 ， 否 则 无 法 建立 连接 。 


We 加 
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图 16.67 “配置 用 户 组 和 计算 机 组 ”对 话 框 图 16.68 “配置 身份 验证 方法 ”对 话 框 


05 单 击 “ 下 一 步 ”按钮 ， 显 示 “ 指 定 NAP 更 新 服务 器 组 和 URL” 对 话 框 。 当 客户 端 计 算 机 未 通过 健康 策 
略 审查 时 ， 可 以 从 更 新 服务 器 组 中 的 服务 器 进行 “补救 % 通常 为 WSUS 服务 器 、 网 络 防 病毒 服务 器 等， 
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可 使 客户 端 安装 系统 更 新 或 杀毒 软件 。 单 击 “ 新 建 组 ”按钮 ， 显 示 “ 新 建 更 新 服务 器 组 ”对 话 框 ， 可 以 

新 建 组 并 添加 相应 的 服务 器 。 单 击 “ 确 定 ” 按 钮 返回 。 当 然 ， 也 可 以 不 设置 更 新 服务 器 组 ， 例 如 仅 检 测 

网 络 防火 墙 开启 状态 等 。 如 图 16.69 所 示 。 

06 单 击 “ 下 一 步 ” 按钮， 显示 如 图 16.70 所 示 “ 定 义 NAP 健康 策略 ”对 话 框 ， 选 择 VPN 强制 需要 的 系统 
健康 验证 器 。 默 认 选 中 “启用 客户 端 计算 机 的 自动 更 新 ” 复 选 框 ， 如果 客户 端 计算 机 没有 启用 自动 更 新 ， 
会 强制 启用 。 由 于 客户 端 计算 机 安装 的 可 能 是 不 具有 NAP 功能 的 操作 系统 ， 因 此 ， 可 选择 “拒绝 对 不 
具有 NAP 功能 的 客户 端 计算 机 的 完全 网 络 访问 权限 。 只 人 允许 访问 受 限 网 络 。” 单 选 按钮 ， 使 其 只 能 访问 
受 限 网 络 。 


只 指定 NAP 更 新 服务 器 组 和 URL 呈 定义 NAP 健康 策略 


服务， 人 
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的 有 组 UJ。 或 “入 rn 
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-ww | [下 -各 加 ] HD | 
图 16.69 指定 NAP 更 新 服务 器 组 和 URL 图 16.70 “定义 NAP 健康 策略 ”对 话 框 
07 单 击 “ 下 一 步 ”按钮 ， 显 示 前 面 所 做 的 配置 。 单 击 “完成 ”按钮 配置 完成 ， 并 返回 “网 络 策略 服务 器 ” 


窗口 。 


提示 为 了 确保 “配置 NAP” 向 导 所 配置 的 策略 正确 无 误 ， 还 应 再 一 一 检查 每 条 策略 的 
脖 执行 顺序 、 条 件 、 约 束 和 设置 等 。 


3. 配置 系统 健康 验证 器 


在 NPS 服务 器 中 ， 要 根据 客户 端 计算 机 的 健康 要 求 ， 配 置 系统 健康 验证 器 (SHV) 来 对 
客户 端 计 算 机 进行 验证 。Windows 安全 健康 验证 程序 中 包括 防火 墙 、 自 动 更 新 、 防 病毒 程序 、 
防 间谍 软件 等 审核 对 象 。 


01 在 “网 络 策略 服务 器 ”窗口 中 ， 依 次 展开 “网 络 访问 保护 ”一 “系统 健康 验证 器 ”选项 ， 默 认 已 创建 了 
一 个 系统 健康 验证 器 。 选 择 “Windows 安全 健康 验证 程序 ”， 右 击 并 选择 快捷 菜单 中 的 “属性 ”选项 ， 
显示 “Windows 系统 健康 验证 程序 属性 ”对 话 框 ， 可 以 根据 系统 健康 要 求 配置 每 个 SHV， 如 图 16.71 
所 示 。 
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参 同 络 半路 服务 否 本 
Ei | 
CE | 


iadors 安全 健康 验证 程序 医改 


图 16.71 在 “系统 健康 验证 程序 ”窗口 配置 SHV 


02 单 击 “ 配 置 ”按钮 ， 显 示 如 图 16.72 所 示 ”03 在 “Windows XP” 选 项 卡 中 , 用 来 配置 Windows 
“Windows 安全 健康 验证 程序 ”对 话 框 ,在 “Windows XP SP3 的 系统 安全 健康 验证 ， 如 图 16.73 所 示 。 
Vista” 选 项 卡 中 ， 可 以 设置 对 Windows Vista 系统 的 

安全 健康 验证 程序 策略 。 如 果 同 时 要 验证 客户 端 系统 

的 安全 更 新 程序 ， 可 选中 “限制 对 未 安装 所 有 可 用 安 

全 更 新 的 客户 端的 访问 权限 ” 复 选 框 ， 并 设置 客户 端 


了 

Samdfoan ph aasascaau 

机 护 [i 

PR Game nan EE | 

自 光 更 新 dd 

(FEENEY ape 
ws | 
Sl 鼎 关 9 访 癌 ER 
ME 

mT—— 后 4 
A 所 4 LT 和 


FY rr ars sone 下 


站， 砍 irontt De 请 和 玫 。 下 12 下 下 中 


Mab errr Wee Teves Pune te 


图 16.72 “Windows 安全 健康 验证 程序 ”对 话 框 图 16.73 Windows XP 系统 安全 健康 验证 
04 设置 完成 后 单 击 “ 确 定 ”按钮 保存 即 可 。 


4. 为 RADIUS 客户 端 配置 NAP 支持 


在 安装 VPN 服务 器 时 ， 设 置 了 RAIUS 服务 器 。 因 此 在 NPS 服务 器 中 也 应 启用 RADIUS 
客户 端 ， 该 客户 端 就 是 VPN 服务 器 ， 使 VPN 服务 器 与 RADIUS 服务 器 能 够 连接 。 

在 “网 络 策略 服务 器 ”窗口 中 ， 依 次 展开 “RADIUS 客户 端 和 服务 器 ”一 “RADIUS 客户 
端 ” 在 右 侧 窗口 列 出 了 已 配置 的 RADIUS 客户 端 。 右 击 名 称 为 “VPN” 的 RADIUS 客户 端 ， 
选择 快捷 菜单 中 的 “属性 ”选项 ， 显 示 如 图 16.74 所 示 “VPN 属性 ”对 话 框 ， 选 中 “RADIUS 
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客户 端 支持 NAP” 复 选 框 。 最 后 ， 单 


EC 


“确定 ”按钮 保存 即 可 。 


Lr 半 
种 | 


| FF 因此 Ban 办 PP 清 加 
| 诈 伍 是: 
Me 二 
En 


i name fh RA rts BP 


应 商 各 种 负 urssme 可 
Rr 
P Fh 三 本 三 全 
雪人 加) eeeeeeee 
而 认 共 训 机 定 旬 ) eeeeeeee 
厂 Jeeerr-eqorrt 清 息 八大 四 襄 escaperhurhenticator 属性 人 ) 
FF Mane 亮 F 拓 支持 WP 四 
L Cw | gaw | 
图 16.74 设置 RADIUS 客户 端 支持 NAP 


16.6.3 配置 VPN 强制 客户 端 


DHCP 强制 客户 端的 配置 过 程 与 IPSec 强制 客户 端 类 似 ， 不 同 的 是 ， 在 配置 NAP 客户 端 
代理 组 件 时 ， 应 启用 “远程 访问 隔离 强制 客户 端 ” 选 项 ， 如 图 16.75 所 示 。 其 他 配置 操作 完全 
相同 ， 此 处 不 复 效 述 。 

TT TT] 
在 中 为 | 中 | 日 可 xR | 
区 a 3 用 训 户 尖 外 谋 从 这 各 设备 刘 后 访问 保护 
| Ts 
3 EE 
T CC ] wi | mw | 


图 16.75 设置 远程 访问 隔离 强制 客户 端 属性 


16.6.4 客户 端 访问 受 保护 的 VPN 服务 器 


当 配 置 了 网 络 访问 保护 策略 以 后 ,在 VPN 客户 端 上 使 用 原来 的 VPN 连接 就 无 法 连接 VPN 
服务 器 了 ， 必 须 先 在 客户 端 计 算 机 上 配置 证 书信 任 和 身份 验证 协议 。 当 VPN 客户 端 拨 入 VPN 


服务 器 并 通过 网 络 访问 策略 验证 以 后 ， 


462 


方 可 正常 访问 内 部 网 络 ， 否 则 访问 将 会 受到 限制 。 
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1. 设置 证 书信 任 


VPN 客户 端 必须 从 内 部 网 络 的 证 书 服务 器 上 下 载 证 书 并 安装 到 “受信 任 的 证 书 颁发 机 构 ” 
中 ， 使 其 信任 证 书 服务 器 ， 才 可 以 连接 VPN 服务 器 。 


01 以 Windows Vista 操作 系统 为 例 。 打 开 IE 浏览 器 ， 在 地 址 栏 中 输入 证 书 服务 器 的 地 址 ， 格 式 为 :http:// 
证 书 服务 器 地 址 /certsrvn 回 车 ， 提 示 需 要 登录 ， 如 图 16.76 所 示 。 


站 EC 

SO fe toes rr [a]x J essaeh p11| 

究 实 【IE | 号" 日 .二 pv SI 
ly Ortonet | PPE 本 100%6 ~ 


图 16.76 ”登录 证 书 服务 器 


2 在 “用 户 名 ”和 “密码 ”文本 框 中 键入 域 用 户 帐户 名 和 密码 ， 单 击 “ 确 定 ” 按 钮 ， 即 可 打开 证 书 服 务 页 
面 。 单 击 “ 下 载 CA 证 书 、 证 书 链 或 CRL” 超 级 链接 ， 显 示 “ 下 载 CA 证 书 、 证 书 链接 或 CRL” 窗 口 。 
单 击 “ 下 载 CA 证 书 ”超级 链接 ， 显 示 “ 文 件 下 载 -安全 警告 ”对 话 框 。 单 击 “ 保 存 ”按钮 ， 将 证 书 下 载 
到 本 地 计算 机 。 如 图 16.77 所 示 。 

Microsoht Adive nternet = 一 

一 


mr GET 
r 一 府 欣 Biercen se moony EN 


OU RBC ewe ert cometon em TutHew . RERUN ET 


FMA ts. El CRL 
使 用 此 网 站 为 您 的 Web 浏览 辣 
你 可 以 内 省 洒 Web 到 关 要 志 任 从 该 征 世相 机 队 本 的 下 必 ， 少 于 此 CA 让 
书 尖 的 行 其 他 安全 任务 。 


rc pc Ch ,am 文件 驶 - 产 SS 所 CE 


各 岂可 以 全 用 此 网 站 下 IE 本 | 一 您 卸 打开 或 保存 此 文件 ? 
外: certnewcer 
有 关 Active Directory 证 书 最 刘 本 | 5 安全 证 869 李 节 
一 一 一 21182218247 
上 二 DER 
Bs Eo [rm 
下 载 Ch 证 所 、 证 书 述 或 CN]| 下 CA 证 
—— 了 SiGECRL 
Eee 用 Mr 
3 一 一 
图 16.77 下 载 证 书 


03 右 击 所 下 载 的 证 书 并 选择 快捷 菜单 中 的 “安装 证 书 ” 选 项 ， 启 动 “ 证 书 导 入 向 导 ”。 单 击 “ 下 一 步 ” 按 
钮 ， 显 示 “ 证 书 存储 ”对 话 框 ， 选 择 “将 所 有 的 证 书 放 入 下 列 存储 ” 单 选 按钮 ， 并 单 击 “ 浏 览 ”按钮 ， 


择 “ 受 信任 的 根 证 书 颁 发 机 构 ”。 依 次 单 击 “ 下 一 步 ”按钮 ， 完 全 使 用 默认 设置 即 可 ， 直 至 向 导 完成 。 
如 图 16.78 所 示 。 
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indews 可 以 自动 选择 证 书 存 寻 ， 或 者 创 可 以 为 证 书 指定 一 个 位 置 。 coolpen-CA 
避 根据 证 书 闪 型 ， 自 动 选 择 下 书 存 周 如 Windows 不 能 磺 认 证 书 是 否 床 全 "coolpen-CA"。 您 应 流 与 
加 将 所 有 有 9 证 书 放 入 下 列 存 绪 引 ) 
证 书 存 同 


“coalpen-CA" 联系 , 以 确认 证 书 床 源 ， 下 列 数 字 检 在 此 过 得 中 对 您 有 
村: 

可 信任 的 根 证 书 舌 发 机 构 Ez 播 议 (shal); 70E9091D AA908930 75D19307 0C1F77FD 5723D9CA 
要 天: 

如 果 安 装 此 模 证 蔬 , Windows 交合 动 信任 所 有 此 CA 颁发 的 汪 书 , 安 
闭 未 经 湛 纹 殉 认 的 证 书 有 安全 风险 。 各 果 单 二 “ 星 ” ， 则 要 示 知 道 此 风 
险 , 


四 安装 此 证 书 避 ? 


_ am |[L am | 


四 1 在 “网 络 和 共享 中 心 ”窗口 中 ， 单 击 “ 管 理 网 络 连 接 ”， 打 开 “ 网 络 连 接 ”窗口 。 选 择 已 创建 的 VPN 链 


接 ， 右 击 并 选择 快捷 菜单 中 的 “属性 ”选项 ， 显 示 “VPN 连接 属性 ”对 话 框 。 切 换 到 “安全 ”选项 卡 ， 
选择 “高 级 ( 自 定义 设置 ) ” 单 选 按钮 ， 如 图 16.79 所 示 。 
于 vpNisRBtE 下 vpNismE 
货 贞 | 选 天] 安全 | 同 络 [ 共 刘 营 规 | 迁 项 | 实 全 | 网络 失 齐 
ee seo 
p11. 82. 218.226 CAF. ME 
ee a | | 有 登录 名 称 和 宇 码 人 二， 
和 E | 要 玉 扑 所 加 宪 慨 和 nf 开 ) 
目 尖 拔 只 个 连 癌 Q) i 
人 [GEGI 


a LD 下 


图 16.79 设置 “安全 ”选项 卡 


02 单 击 “设置 按钮 ， 显 示 如 图 16.80 所 示 “ 高 级 安全 设置 ”对 话 框 ,在 “数据 加 密 ”下 拉 列 表 中 选择 “ 需 
要 加 密 (如 果 服 务 器 拒绝 将 断 开 连 接 ) ” 选项。 选择“ 使 用 可 扩展 的 身份 验证 协议 (EAP)” 单 选 按钮 
并 在 下 拉 列表 中 选择 “ 受 保护 的 EAP (PEAP) (启用 加 密 )” 选 项 。 

03 单 击 “ 属 性 ”按钮 ， 显 示 如 图 16.81 所 示 “ 受 保护 的 EAP 属性 ”对 话 框 ， 确 认 选 中 “验证 服务 器 证 书 ” 
文本 框 ， 并 取消 “连接 到 这 些 服务 器 ” 复 选 框 。 在 “受信 任 的 根 证 书 颁发 机 构 ”列表 框 中 ， 可 以 看 到 已 
经 安装 的 证 书 颁发 机 构 。 在 “选择 身份 验证 方法 ”下 拉 列 表 中 ， 选择“ 安全 密码 ”选项 ， 并 选中 “启用 
隔离 检查 ” 复 选 框 。 
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[| 
[IE Ex - 
教 所 加 守 Ql) hateity 国 
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汪 安全 ion hotheeity 
| 。 加 使 用 可 扩 必 身份 验证 协议 EX) @) 


Eifas secwe Global 
‘ 下 


癌 不 和 示 用 户 奏 证 新 肌 务 器 或 受信 任 的 证 书 搬 权 机 构 )， 


过 ME 二 
[Ey 了 [BEG] 
mgs 
问 加 果 弛 各 直 在 eryptobiniine TLY 上 由 朵 开 这 接 ) 

图 16.80 “高 级 安全 设置 ”对 话 框 图 16.81 “ 受 保护 的 EAP 属性 ”对 话 杠 


04 依次 单 击 “ 确 定 ”按钮 保存 即 可 。 


011 在 “网 络 连接 ”窗口 中 ,双击 已 创建 的 VPN 连接 ， 显 示 “ 连 接 VPN 连接 ”对 话 框 。 单 击 “ 连 接 ” 按 钮 ， 
显示 如 图 16.82 所 示 “ 输 入 凭据 ”对 话 框 ， 可 以 设置 要 拨 入 VPN 服务 器 的 帐户 和 密码 。 


月 hm: I 
0) Dhaba hdd 
i 
加 从 用 户 各 和 到 为 和 和 有) 
连接 取消 帮助 中 
FED 本 


图 16.82 打开 “输入 凭据 ”对 话 框 


2 单 击 “ 确 定 ”按钮 ， 开 始 连接 VPN 服务 器 ， 并 验证 用 户 名 和 密码 。 验 证 通过 以 后 ， 显 示 如 图 16.83 所 
示 “ 验 证 服务 器 证 书 ”对 话 框 ， 要 求 确认 服务 器 证 书 是 否 正确 。 

0 3 单 击 “ 确 定 ”按钮 ， 连 接 VPN 网 络 。 如 果 容 户 端 计算 机 的 配置 不 符合 网 络 访问 保护 策略 的 要 求 ， 就 会 
在 菏 面 右 下 角 的 托盘 区 域 中 显示 如 图 16.84 所 示 “ 此 计算 机 不 符合 该 网 络 的 要 求 ” 的 提示 。 
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rn 


哮 此 计算 in 不 符合 该 网 络 的 要 求 “ 
RE 2 网络 访 问 权 限 受 限制 。 


I 


图 16.83 “验证 服务 器 证 书 ” 对 话 框 图 16.84 此 计算 机 不 符合 该 网 络 的 要 求 


04 此 时 ，VPN 强制 会 根据 网 络 访问 保护 策略 ， 自 动 修正 客户 端 计算 机 的 设置 ， 如 Windows 防火 墙 、 自 动 
更 新 等 ， 如 图 16.85 所 示 。 

0 5 当 客 户 庙 计 算 机 的 配置 被 启用 以 后 ， 符 合 网 络 要 求 ， 会 显示 如 图 16.86 所 示 “ 此 计算 机 符合 该 网 络 的 要 
求 ” 的 提示 ， 此 时 ， 计 算 机 即 可 拥有 访问 VPN 网 络 的 完全 权限 了 。 


[a 此 计算 机 不 符合 该 网 络 的 要 求 | 此 计算 机 符合 该 网 络 的 要 求 “ 
此 计算 机 正在 被 更 新 ， 于 他 具有 冯 全 的 网 络 访问 权限 。 


不 过 ， 如 果 经 过 VPN 强制 以 后 ， 仍 然 不 符合 网 络 访问 保护 策略 ， 那 么 该 计算 机 的 访问 仍 
然 受 限 。 例 如 ，VPN 强制 可 以 启用 系统 的 Windows 防火 墙 和 自动 更 新 ， 但 不 能 强制 安装 杀毒 
软件 ， 因 此 ， 单 击 提示 信息 ， 显 示 如 图 16.87 所 示 “ 网 络 访问 保护 ”对 话 框 ， 提 示 没 有 检测 到 
防 病毒 程序 ， 该 计算 机 的 网 络 访问 权限 也 受到 限制 。 


你 的 计算 机 不 符合 该 网 络 的 要 求 
Cy 更 新 计算 机 之 前 ， 网 络 访问 权限 格 受 限制 。 清单 击 “ 重 添 ”。 
图 Windows 安全 健康 代理 
Microsof Corporation 
Windows 安全 总 素 代理 愉 埋 计算 机 与 管理 员 定 义 的 策 夺 县 知 符合 。 
版 本 :10 ,1D 79744 


Windows 安全 健康 代理 未 能 更 新 这 台 计算 机 的 安全 状态 ， 


侈 下 结果 
Windows 没有 检测 与 Windows 安全 中 心 莫 容 的 防 骞 毒 程序、 


NAP 是 Windows Server 2008 系统 新 增 功能 之 一 ， 通 过 对 客户 端 进行 健康 评估 ， 只 有 达到 
网 络 健康 标准 客户 端 ， 才 允许 接 入 内 部 网 络 ， 和 否则 将 被 隔离 ,直至 恢复 健康 状态 。 本 章 主要 介 
绍 了 NAP 在 局 域 网 中 的 几 种 常见 应 用 ， 包 括 IPSec 强制 、DHCP 强制 和 VPN 强制 。IPSec 策 
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略 是 基于 卫 数据 包 的 筛选 机 制 ，IPSec 强制 系统 主要 用 于 确保 网 络 通信 双方 系统 的 健康 程度 ， 
从 而 确保 网 络 访问 安全 。DHCP 强制 主要 用 于 配合 其 他 强制 系统 使 用 , 用 于 为 隔离 网 络 和 健康 
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现在 以 ASP、PHP、JSP 为 主 的 动态 网 站 都 涉及 到 数据 库 的 应 用 ， 许 多 管 
理 员 往往 只 重视 操作 系统 本 身 的 漏洞 而 忽略 了 数据 库 和 一 些 脚本 的 安全 设置 ， 
给 网 站 埋 下 了 安全 隐患 。Windows Server 2008 是 一 个 “ 缺 省 安全 ”的 产品 ， 
默认 情况 下 整个 服务 器 被 锁定 ， 网 络 管理 员 须 亲自 启动 每 个 需要 使 用 的 服务 。 
在 SQL Server 2005 中 ， 默 认 情 况 下 ， 整 个 数据 库 服务 器 也 是 被 锁定 的 ， 需 管 
理 员 手工 激活 才能 使 用 。 


本 章 导读 


轩 数据 库 安全 设置 
量 MBSA 数据 库 扫描 
量 数据 备份 与 安全 
是 系统 补丁 
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17.1 数据 库 安全 设置 


SQL Server 数据 库 中 存储 企业 和 网 站 的 重要 数据 , 因此 是 很 多 入 侵 者 攻击 的 主要 对 象 , 通 
过 对 数据 库 的 合理 设置 ， 从 而 提高 数据 库 的 安全 性 ， 降 低 被 入 侵 的 风险 性 。 


17.1.1 文件 夹 访问 权限 


NTFS 文件 系统 的 磁盘 具有 严格 的 用 户 访问 权限 ， 为 了 保护 数据 库 的 安全 。 可 以 将 SQL 
Server 数据 库 安装 在 NTFS 分 区 上 ， 再 设置 适当 的 权限 ,降低 入 侵 者 通过 文件 操作 权限 来 破坏 
数据 库 的 可 行 性 。 


1. 文件 夹 安全 设置 


数据 库 文件 默认 存储 在 SQL Server 安装 目录 下 的 子 文件 夹 中 ， 管 理 员 可 以 通过 设置 有 许 
可 的 用 户 才能 访问 这 个 文件 夹 来 保护 数据 库 的 安全 。 


0 二 右 击 “Microsoft SQL Server” 文 件 夹 , 在 快捷 菜单 中 选择 “属性 ”选项 , 打开 如 图 17.1 所 示 的 “Microsoft 
SQL Server 属性 ”窗口 。 


nN lier osoft SOL Surver 
a 文件 夫 

位置 Chregm File 

be) 656 686, 544,326 字 节 ) 


占用 空间 。。 60 WB (92,711,424 字 节 ) 
从: 1,893 个 文件 ,313 个 文件 天 


印 捉 拉 。 2009 年 3 月 27 日 ,8:13:29 


属性 只 读 (取笑 用 于 文件 夫 中 的 文件 ) 8) 


T RO | 


图 17.1 “Microsoft SQL Server 属性 ”窗口 


0 2 切换 至 “安全 ”选项 卡 ， 删 除 除 指定 许可 的 用 户 或 组 以 外 的 其 他 用 户 和 组 ， 单 击 “ 确 定 ”按钮 保存 设置 
即 可 。 


提示 “建议 取消 除 Administrator 组 具备 的 “完全 控制 ”权限 以 外 ， 其 他 用 户 或 组 不 分 配 


芯 “完全 控制 权限 ”。 
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0 二 右 击 “Microsoft SQL Server” 文 件 夹 , 在 快捷 菜单 中 选择 “属性 ”选项 , 打开 如 图 17.1 所 示 的 “Microsoft 
SQL Server 属性 ”窗口 。 


nN lier osoft SOL Surver 
a 文件 夫 

位置 Chregm File 

be) 656 686, 544,326 字 节 ) 


占用 空间 。。 60 WB (92,711,424 字 节 ) 
从: 1,893 个 文件 ,313 个 文件 天 


印 捉 拉 。 2009 年 3 月 27 日 ,8:13:29 


属性 只 读 (取笑 用 于 文件 夫 中 的 文件 ) 8) 


T RO | 


图 17.1 “Microsoft SQL Server 属性 ”窗口 


0 2 切换 至 “安全 ”选项 卡 ， 删 除 除 指定 许可 的 用 户 或 组 以 外 的 其 他 用 户 和 组 ， 单 击 “ 确 定 ”按钮 保存 设置 
即 可 。 


提示 “建议 取消 除 Administrator 组 具备 的 “完全 控制 ”权限 以 外 ， 其 他 用 户 或 组 不 分 配 


芯 “完全 控制 权限 ”。 
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17.1 数据 库 安全 设置 


SQL Server 数据 库 中 存储 企业 和 网 站 的 重要 数据 , 因此 是 很 多 入 侵 者 攻击 的 主要 对 象 , 通 
过 对 数据 库 的 合理 设置 ， 从 而 提高 数据 库 的 安全 性 ， 降 低 被 入 侵 的 风险 性 。 


17.1.1 文件 夹 访问 权限 


NTFS 文件 系统 的 磁盘 具有 严格 的 用 户 访问 权限 ， 为 了 保护 数据 库 的 安全 。 可 以 将 SQL 
Server 数据 库 安装 在 NTFS 分 区 上 ， 再 设置 适当 的 权限 ,降低 入 侵 者 通过 文件 操作 权限 来 破坏 
数据 库 的 可 行 性 。 


1. 文件 夹 安全 设置 


数据 库 文件 默认 存储 在 SQL Server 安装 目录 下 的 子 文件 夹 中 ， 管 理 员 可 以 通过 设置 有 许 
可 的 用 户 才能 访问 这 个 文件 夹 来 保护 数据 库 的 安全 。 


0 二 右 击 “Microsoft SQL Server” 文 件 夹 , 在 快捷 菜单 中 选择 “属性 ”选项 , 打开 如 图 17.1 所 示 的 “Microsoft 
SQL Server 属性 ”窗口 。 


nN lier osoft SOL Surver 
a 文件 夫 

位置 Chregm File 

be) 656 686, 544,326 字 节 ) 


占用 空间 。。 60 WB (92,711,424 字 节 ) 
从: 1,893 个 文件 ,313 个 文件 天 


印 捉 拉 。 2009 年 3 月 27 日 ,8:13:29 


属性 只 读 (取笑 用 于 文件 夫 中 的 文件 ) 8) 


T RO | 


图 17.1 “Microsoft SQL Server 属性 ”窗口 


0 2 切换 至 “安全 ”选项 卡 ， 删 除 除 指定 许可 的 用 户 或 组 以 外 的 其 他 用 户 和 组 ， 单 击 “ 确 定 ”按钮 保存 设置 
即 可 。 


提示 “建议 取消 除 Administrator 组 具备 的 “完全 控制 ”权限 以 外 ， 其 他 用 户 或 组 不 分 配 


芯 “完全 控制 权限 ”。 
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2. 文件 夹 共享 权限 


如 果 确实 需要 共享 数据 库 文件 ， 应 对 共享 文件 夹 进 行 相应 的 设置 。 


01 右 击 “Microsoft SQL Server” 文件 夹 ， 在 快捷 菜单 中 选择 “属性 ”选项 ， 打 开 “Microsoft SQL Server 
属性 ”对 话 框 。 切 换 至 “共享 ”选项 卡 ， 单 击 “ 高 级 共享 ”按钮 ， 显 示 “ 高 级 共享 ”对 话 框 。 

0 .2 选中 “共享 此 文件 夹 ” 复 选 框 ， 在 “将 同时 共享 的 用 户 数量 限制 为 ”文本 框 中 输入 同时 共享 的 用 户 限制 ， 
单 击 “ 权 限 ” 按 钮 ， 显 示 如 图 17.2 所 示 “Microsoft SQL Server 的 权限 ”对 话 框 。 


图 17.2 设置 Microsoft SQL Server 的 共享 权限 


3 根据 实际 需要 添加 、 删 除 组 和 用 户 名 并 设置 相关 权限 。 依 次 单 击 “ 确 定 ”按钮 ， 保 存 设置 即 可 。 


提示 ， 除 非 情况 特殊 ， 和 否则 不 建议 共享 此 文件 严 。 


17.1.2 数据 库 访问 权限 


Microsoft SQL Server 2005 可 以 定义 登录 用 户 的 数据 库 访问 权限 和 数据 表 的 访问 权限 ， 下 
面 将 分 别 介绍 对 数据 库 和 数据 表 访 问 权 限 设置 的 方法 。 


1. 数据 库 访问 权限 设置 


通常 情况 下 ,只 有 授权 的 用 户 才能 访问 数据 库 , 如 果 用 户 对 数据 库 访问 权限 都 没有 ,将 不 
能 访问 数据 库 中 数据 表 中 的 任何 数据 。 
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四 1 依次 选择 “开始 ”一 “所 有 程序 ”一 “Microsoft SQL Server 2005” 一 “Microsoft SQL Server Management 
Studio”， 打 开 “Microsoft SQL Server Management Studio” 窗 口 。 依 次 选择 “WIN-HKSLEYF2MMT” 
一 “安全 性 ”一 “登录 名 ” 在 右 侧 窗口 中 右 击 需要 设置 访问 权限 的 用 户 帐户 (以 zhangsan 为 例 )， 在 
快捷 菜单 中 选择 “属性 ”选项 ， 打 开 “ 登 录 属 性 -CORP\zhangsan” 对 话 框 。 

0 2 在 “选择 页 ”菜单 栏 中 ， 选 择 “ 服 务 器 角色 ”选项 ， 显 示 如 图 17.3 所 示 的 “服务 器 角色 ”对 话 框 ， 在 
“服务 器 角色 ”列表 中 ， 选 择 指定 用 户 可 以 访问 的 服务 器 角色 。 


EET 


图 17.3 “服务 器 角色 ”对 话 框 


(03 在 “选择 页 ”菜单 栏 中 ,选择 “用 户 映射 ”选项 ， 显 示 “ 登 录 属性 -zhangsan” 对 话 框 。 选 择 zhangsan 
可 以 访问 的 数据 库 。 在 选择 某 个 数据 库 时 ， 在 “数据 库 角色 成 员 身 份 ”窗口 中 会 显示 有 效 的 数据 库 角色 。 

04 在 “映射 到 此 登录 名 的 用 户 ” 列 表 中 选择 “master” 数据库 ， 单 击 “ 默 认 架 构 ”数据 列 右 侧 “.…” 按 钮 ， 
显示 “选择 架构 ”对 话 框 。 

05 单 击 “ 浏 览 ”按钮 ， 显 示 如 图 17.4 所 示 “ 查 找 对 象 ”对 话 框 ， 根 据 实际 情况 在 “匹配 的 对 象 ”列表 中 
选中 相应 的 架构 复 选 框 。 


FEE 


图 17.4 设置 匹配 的 对 象 


06 单 击 “ 确 定 ” 按钮， 返回 “选择 架构 ”对 话 框 。 单 击 “ 确 定 ”按钮 ， 返 回 “ 用 户 映射 ”对 话 框 ， 在 “ 选 
择 页 ”菜单 栏 中 ， 单 击 “ 安 全 对 象 ”链接 ， 打 开 如 图 17.5 所 示 “ 安 全 对 象 ”对 话 框 。 
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Merosoft 
Windows 


图 17.5 “安全 对 象 ”对 话 框 
07 单 击 “ 添 加 ” 按钮， 显示 “添加 对 象 ”对 话 框 。 选 择 “ 特 定 对 象 ” 单 选 按钮 ， 单 击 “ 确 定 ”按钮 ， 显 示 
“选择 对 象 ”对 话 框 。 单 击 “ 对 象 类 型 ” 按钮， 显示 如 图 17.6 所 示 “ 选 择 对 象 类 型 ”对 话 框 ， 选 中 “ 服 
务 器 ” 复 选 框 。 


图 17.6 设置 安全 对 象 的 类 型 


0 8 单 击 “ 确 定 ” 按钮， 返回“ 选择 对 象 ”对 话 框 。 单 击 “ 浏 览 ”按钮 ， 显 示 如 图 17.7 所 示 “ 查 找 对 象 ” 
对 话 框 ， 在 “匹配 的 对 象 ” 列 表 中 ， 选 中 “查找 对 象 ” 复 选 框 。 


图 17.7 “查找 对 象 ”对 话 框 


0 9 连续 单 击 “确定” 按钮 返回 “安全 对 象 ” 对 话 框 。 在 “WIN-HKSLEYF2MMT 显 式 权限 ”列表 中 ， 选 
择 给 “zhangsan” 的 相应 权限 ， 例 如 授予 zhangsan 用 户 “Shutdown” 权 限 ， 在 “Shutdown” 选 项 中 ， 
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17.8 “安全 对 象 ”对 话 框 


1 0 单 击 “确定 ”按钮 ， 完 成 对 zhangsan 用 户 访问 权限 的 设置 。 


2. 数据 表 访问 权限 设置 


用 户 具备 对 数据 库 的 访问 权限 后 , 管理 员 可 以 授予 用 户 对 数据 表 的 访问 权限 , 使 仅 具备 访 
问 权限 的 数据 表 才 可 以 被 用 户 访问 。 


01 在 “Microsoft SQL Server Management” 窗口 中 ， 依 次 选择 “WIN-HKSLEYF2MMT” 一 “数据 库 ”一 
“master” 一 “ 表 ”， 显 示 “ 表 ”窗口 。 右 击 需要 设置 的 数据 表 ， 在 快捷 菜单 中 选择 “属性 ”选项 ， 打 
开 “ 表 属性 -company” 对 话 框 。 在 “选择 页 ”菜单 栏 中 ， 单 击 “ 权 限 ” 选 项 。 单 击 “ 添 加 ”按钮 ， 显 
示 “ 选 择 用 户 和 角色 ”对 话 框 。 单 击 “ 浏 览 ”按钮 ， 显 示 如 图 17.9 所 示 “ 查 找 对 象 ”对 话 框 ， 在 “ 匹 
配 的 对 象 ” 列 表 中 选中 登录 名 “zhangsan” 复 选 框 。 


17.9 设置 授权 用 户 


2 连续 单 击 两 次 “确定 ”按钮 , 返回 “权限 ?对话 框 在 “zhangsan 的 显示 权限 ”列表 中 , 设置 用 户 zhangsan 
对 数据 表 的 权限 。 


473 


属 Windows Server 2008 系统 安全 管理 实战 指南 


0 3 单 击 “ 确 定 ”按钮 ， 完 成 对 用 户 访问 数据 表 权限 的 设置 。 


17.1.3 ”系统 管理 员 设 置 


在 SQL Server 2005 中 , 可 以 使 用 Windows 身份 认证 和 SQL Server 身份 认证 两 种 认证 方式 
登录 SQL。 如 果 不 需 要 系统 管理 员 管理 数据 库 ， 可 以 将 系统 管理 员 组 删除 。 
1. 删除 网 络 管理 员 组 


01 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 依 次 选择 “WIN-HKSLEYF2MMT” 一 “安全 
性 ”一 “登录 名 ”。 右 击 “BUILTINWdministartor” 选 项 ， 在 快捷 菜单 中 选择 “删除 ”选项 ， 显 示 如 
17.10 所 示 “ 删 除 对 象 ” 对 话 框 。 
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17.10 “删除 对 象 ”对 话 杠 

02 单 击 “确定 "按钮 ， 即 可 市 除 “BUILTINWAdministrator” 网 络 管理 员 组 。 
2. C2 审核 


C2 审核 是 一 个 政府 安全 等 级 标准 ， 使 系统 能 够 保护 资源 并 具有 足够 的 审核 能 力 。 管 理 员 
通过 C2 审核 模式 来 监视 对 所 有 数据 库 实体 的 所 有 访问 企图 。 


1 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 右 击 “WIN-HKSLEYF2MMT” 选项， 在 快捷 
菜单 


选择 “属性 ” 选项， 显示 如 图 17.11 所 示 “ 服 务 器 属性 - WIN-HKSLEYF2MMT” 对 话 框 。 在 “ 选 
择 页 ”菜单 栏 中 ， 选 择 “ 安 全 性 ”选项 。 
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Ten em 


CD ej 


图 17.11 “安全 性 ”对 话 框 


02 在 “登录 审核 ”文本 域 中 ， 选 择 “ 失 败 和 成 功 的 登录 ” 单 选 按钮 ， 同 时 选中 “启用 C2 审核 限 叶 ” 复 选 框 
03 单 击 “ 确 定 ”按钮 ， 显 示 如 图 17.12 所 示 “ 重 启 ” 对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 完成 配置 。 


soft SUL Server Wensument Stn 


和 汉 sq Seve 后， 入 11 提要 轩 本 生 让。 
由 
17.12 “重启 ”对 话 框 


提示 “C2 审核 模式 将 大 量 事 件 信息 保存 在 日 志文 件 中 ,可 能 会 导致 日 志文 件 的 迅速 增 大 ， 
\ 放 如 果 保 存 日 志 的 数据 空间 不 足 ，SQL Server 将 自动 关闭 。 


3. 修改 SA 帐户 名 称 


SA 帐户 是 SQL Server 的 内 置 帐户 , 其 默认 的 密码 为 空 , 管理 员 应 当 修 改 或 删除 SA 帐户 。 

在 “Microsoft SQL Server Management Studio” 窗 口中 , 依次 选择 “WIN-HKSLEYF2MMT” 
一 “安全 性 ”一 “登录 名 ”。 右 击 “SA” 帐 户 ， 在 快捷 菜单 中 选择 “ 重 命名 ”选项 ， 更 改 SA 
帐户 名 ， 单 击 “ 确 定 ” 按 钮 即 可 完成 配置 。 


17.2 MBSA 数据 库 扫 描 


Microsoft 基准 安全 分 析 器 (Microsoft Baseline Security Analyzer, 简称 MBSA)， 是 微软 公 
司 提供 的 一 款 可 以 免费 下 载 的 安全 扫描 工具 ， 人 允许 用 户 扫描 一 台 或 多 台 基于 Windows 的 计算 
机 。 借 助 MBSA， 可 以 扫描 SQL Server 2005 数据 库 中 存在 的 安全 问题 ， 例 如 ， 身 份 验证 模式 
的 类 型 、SA 帐户 密码 状态 和 SQL Server 帐户 成 员 资格 。 每 一 次 扫描 都 会 记录 在 安全 报告 中 ， 
并 附带 有 相关 修复 已 发 现 问题 的 解决 方法 。 

MBSA 的 下 载 地 址 是 http://www.microsoft.com/downloads/details.aspx?FamilyID=F32921 
AF-9DBE-4DCE-889E-ECF997EB18E9&displaylang=en#filelist, 这 里 介绍 如 何 使 用 MBSA 扫描 
SQL Server 数据 库 。 
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01 依次 选择 “开始 ”一 “所 有 程序 ”一 “Microsoft Baseline Security Analyzer 2.1”， 打 开 “MBSA” 窗口。 

02 单 击 “Scan a computer” 超 级 链接 ， 打 开 如 图 17.13 所 示 “Which computer do you to scan ”窗口 。 
在 “Computer name” 下 拉 列 表 框 中 ， 选 择 需要 扫描 的 计算 机 ， 在 “Options” 选 项 中 选中 “Check for 
SQL Vulnerabilites” 复 选 框 。 


图 17.13 “Which computer do youto scan” 窗 口 


3 单 击 “start Scan” 按钮 ， 开 始 扫 拱 ， 扫 撕 完 后 自动 生成 “安全 列表 ”窗口 。 单 击 “What was scanned” 超 
级 链接 ， 打 开 如 图 17.14 所 示 的 “扫描 结果 列表 ”窗口 ， 在 窗口 中 显示 了 扫描 结果 及 需要 采取 处 理 的 方案 。 
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4 
i 


17.14 “扫描 结果 
注意 


得 低 于 MBSA 2.0.1 的 版 本 不 支持 Windows Server 2008 操作 系统 。 


17.3 数据 备份 与 安全 


为 了 防止 数据 库 系统 出 现 灾难 性 故障 ， 数 据 库 的 备份 和 恢复 成 了 一 项 必 不 可 少 的 安全 措 
施 。 由 于 数据 库 更 新 速度 比较 频繁 , 管理 员 应 当 定 时 对 数据 库 进 行 更 新 ， 有 些 企业 甚至 采取 了 
实时 备份 来 确保 数据 的 安全 性 。 备 份 内 容 包 括 系统 数据 库 (Master、Msdb、Model、Tempdb、 
Ddistribution)、 用 户 数据 库 和 事务 日 志 。 
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17.3.1 数据 库 的 完全 备份 与 恢复 


完全 备份 数据 库 就 是 将 数据 库 中 的 所 有 数据 文件 全 部 复制 备份 ,这 种 备份 方法 适合 小 型 数 
据 库 , 但 对 于 大 中 型 数据 库 来 说 ,因为 数据 量 比较 大 , 这 种 备份 方式 需要 花费 较 多 的 备份 时 间 
和 存储 空间 。 

1. 完全 备份 数据 库 

完整 数据 库 备份 对 整个 数据 库 进行 备份 , 包括 对 部 分 事务 日 志 进 行 备份 , 以 便 能 够 恢复 完 
整数 据 库 备份 。 


和 1 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 选 择 “数据 库 ” 选 项 ， 在 “数据 库 ” 中 选择 
需要 备份 的 数据 库 对 象 , 例如 company， 右 击 “company”， 在 快捷 菜单 中 依次 选择 “任务 ”一 “备份 ”， 
打开 如 图 17.15 所 示 的 “备份 数据 库 - company” 对 话 框 。 
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图 17.15 “备份 数据 库 -company” 对 话 杠 


02 在 “ 源 ”文本 域 中 ， 在 “备份 类 型 ”下 拉 列 表 中 选择 “完整 ”选项 ， 在 “备份 组 件 ”文本 域 中 选择 “ 数 
据 库 ” 单 选 按钮 在 “备份 集 ” 文 本 域 中 填写 备份 数据 的 名 称 和 相关 说 明 ， 在 “备份 集 过 期 时 间 ” 中 选 
择 备份 集 过 期 的 时 间 ， 如 果 时 间 设 为 0， 表 示 始终 不 过 期 。 

03 在 “目标 ”文本 区 域 中 ， 选 择 数据 库 备 份 存储 的 地 方 ， 可 以 选择 磁盘 或 磁带 ， 单 击 “ 添 加 ”按钮 ， 打 开 
“选择 备份 目标 ”对 话 框 。 在 “文件 名 ”文本 框 中 输入 备份 文件 存放 的 目标 文件 夹 。 

04 单 击 “ 确 定 ”按钮 ， 开 始 备份 数据 库 ， 数 据 库 备份 完成 后 显示 如 图 17.16 所 示 “ 备 份 完成 ”对 话 框 。 


MicrosoFt SQL Server unseeneat Studio 


6 对 数据 衬 <ompany 的 备份 已 成 功 元 起 


01 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 选 择 “ 数 据 库 ” 选 项 ， 选 择 想 要 恢复 的 数据 
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库 对 象 ， 右 击 “ 数 据 库 名 ”， 在 快捷 菜单 中 依次 选择 “任务 ”一 “还 原 ” 一 “数据 库 ” 打开 如 图 17.17 
所 示 的 “还 原 数 据 库 ” 对 话 框 。 


17.17 “还 原 数据 库 ” 对 话 框 


0 2 在 “还 原 的 目标 ”文本 域 中， 选择 “目标 数据 库 ” 的 名 称 和 “目标 时 间 ” 在 “还 原 的 源 ” 文 本 域 中 ， 
选择 指定 用 于 还 原 的 备份 集 和 位 置 ， 选 择 “ 源 设备 ” 单 选 按钮 ， 单 击 “.… ”按钮 ， 显 示 “ 指 定 备份 ”对 
话 框 。 单 击 “ 添 加 ”按钮 ， 显 示 如 图 17.18 所 示 “ 定 位 备份 文件 ”对 话 框 ， 根 据 实际 需要 ， 选 择 备份 的 
数据 库 文件 。 


图 17.18 指定 备份 文件 


0 3 连续 单 击 “确定 ”按钮 ， 返 回 到 “还 原 数据 库 ”对 话 框 。 在 “选择 用 户 还 原 的 备份 集 ” 文 本 域 中 ， 选 中 
需要 还 原 的 备份 文件 ， 在 左 侧 “ 选 择 页 ”菜单 栏 中 选择 “选项 ”选项 ， 显 示 如 图 17.19 所 示 “ 选 项 ”对 
话 框 。 在 “还 原 选项 ”文本 域 中 选择 合适 的 还 原 方式 ， 包 括 如 下 四 种 还 原 方式 : 


覆盖 现 有 数据 库 ;， 
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下 保留 复制 设置 ; 
里 还 原 每 个 备份 之 前 进行 提示 ; 
于 限制 访问 还 原 的 数据 库 。 


04 在 “将 数据 库 还 原 为 ”文本 域 中 ， 单 击 “...” 按 钮 ， 显 示 如 图 17.20 所 示 “ 定 位 数据 库 文件 
-WIN-HKSLEYF2MMT” 对 话 框 ， 选 择 指定 的 目标 文件 夹 。 


SW -Dw 
i I 
厂 机 基 册 和 用 要 二 站 
厂 信和 
厂 更 天 是 计 从 之 前 坟 行 检 未 名 
厂 丙 击 疝 辣 克基 的 直 报 话 F) 
计件 也 为 5) 
3 Ti ml 
mS 
妓 时 机 天， OO 
洲 wwwwwn Er TPR EIN or rm 
和 
rm A ene te | i 
加 [CC 
ee | 2 3 
Ce _w | se el 
图 17.19 “选项 ”对 话 框 17.20 “定位 数据 库 文件 - WIN-HKSLEYF2MMT” 对 话 框 


5 在 “恢复 状态 ”文本 域 中 ， 设 置 数据 库 的 恢复 状态 ， 包 括 如 下 三 种 选项 : 


四 回 液 来 提交 的 事务 ， 使 数据 库 处 于 可 以 使 用 的 状态 。 无 法 还 原 其 他 事务 日 志 ; 

不 对 数据 库 执行 任何 操作 ， 不 回 滚 未 提交 的 事务 ， 可 以 还 原 其 他 事务 日 志 ; 

四 使 数据 库 处 于 只 读 模式 。 撤 消 未 提交 的 事务 ， 但 将 撤消 操作 保存 在 备用 文件 中 ， 以 便 可 
使 恢复 效果 逆转 。 


06 单 击 “ 确 定 ” 按钮， 开始 执行 还 原 操作 ， 数 据 恢 复 完成 后 显示 “还 原 成 功 ” 对 话 框 ， 单 击 “ 确 定 ”按钮 ， 
关闭 向 导 即 可 。 


17.3.2 ”数据库 的 差异 备份 与 恢复 


相对 于 完全 备份 数据 库 ， 差 异 备份 非常 适合 大 中 型 数据 库 ， 备 份 效率 非常 高 。 所 谓 差异 备 
份 ， 只 备份 与 已 经 备份 的 数据 不 同 的 数据 ， 而 相同 的 数据 则 不 进行 备份 。 


1. 差异 备份 数据 库 


“差异 数据 库 备 份 ”只 记录 自 上 次 完整 数据 库 备 份 后 更 改 的 数据 。 此 完整 备份 称 为 “差异 基 
准 ”。 差 异 数据 库 备份 比 完整 数据 库 备份 更 小 、 更 快 。 这 会 缩短 备份 时 间 ， 但 将 增加 复杂 程度 。 对 
于 大 型 数据 库 ， 差 异 备份 的 间隔 可 以 比 完整 数据 库 备 份 的 间隔 更 短 。 这 将 降低 工作 丢失 风险 。 


01 在 “MicrosoftSQL Server Management Studio” 窗 口中 ， 依 次 选择 “WIN-HKSLEYF2MMT” 一 “数据 
库 ” 右 击 “company” 并 在 快捷 菜单 中 依次 选择 “任务 ”一 “备份 ” 显示 如 图 17.21 所 示 “ 备 份 数据 
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库 -company” 对 话 框 。 在 “备份 模式 ”下 拉 列 表 中 选中 “差异 ”选项 ， 选 择 “ 数 据 库 ” 单 选 按钮 ， 其 
他 设置 保持 默认 设置 即 可 。 


图 17.21 “备份 数据 库 -company” 对 话 杠 
02 单 击 “ 确 定 ”按钮 ， 备 份 完 后 显示 “备份 成 功 ”的 对 话 框 ， 单 击 “ 确 定 ” 按 钮 即 可 。 


注意 各 份 数据 库 需要 完成 2 部 分 的 备份 ， 首先 需 完成 完全 数据 库 备份 ， 然后 完成 差异 数 
据 库 备份 。 


2. 还 原 差异 备份 
在 恢复 差异 备份 时 ， 必 须 恢复 最 后 一 次 的 完整 备份 。 


和 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 依 次 选择 “WIN-HKSLEYF2MMT” 一 “数据 
库 ” 右 击 “company” 并 在 快捷 菜单 中 依次 选择 “任务 ”一 “还 原 ” 一 “数据 库 ” 显示 如 图 17.22 所 
示 “ 还 原 数据 库 - company” 对 话 框 。 在 “目标 数据 库 ” 下 拉 列 表 中 ， 选 择 需 还 原 的 数据 库 ， 选 择 “ 源 
数据 库 ” 单 选 按钮 ， 在 “ 源 数据 库 ” 下 拉 列 表 中 选择 源 数据 库 ， 在 “选择 用 户 还 原 的 备份 集 ” 文 本 框 中 ， 
选中 还 原 的 备份 集 。 


图 17.22 “还 原 数据 库 - company” 对 话 框 
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02 单 击 “ 确 定 ”按钮 ， 开 始 还 原 。 还 原 完成 后 ， 显 示 “ 还 原 成 功 ”对 话 框 ， 单 击 “确定 ”按钮 即 可 。 


注意 ”恢复 差异 数据 库 跟 备份 差异 数据 库 一 样 , 首先 需要 恢复 完全 数据 库 备 份 ,然后 才 可 
以 恢复 差异 数据 库 备份 。 


17.3.3 事务 日 志 备份 与 还 原 


对 事务 日 志 的 备份 与 还 原 ， 可 以 采用 作业 模式 来 减轻 管理 负担 , 提高 作业 效率 。 下 面 介绍 
使 用 备份 设备 来 存储 事务 日 志 的 方法 。 


1. 创建 事务 日 志 备 份 
在 完整 恢复 模式 和 大 容量 日 志 恢 复 模式 下 ， 执 行 例 行 事务 日 志 备份 对 于 恢复 数据 十 分 必要 。 


上 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 依 次 选择 “WIN-HKSLEYF2MMT” 一 “服务 
器 对 象 ” 右 击 “ 备 份 设备 ”选项 ， 在 快捷 菜单 中 选择 “新 建 备份 设备 ”选项 ， 打 开 “ 备 份 设备 ”对 话 
框 。 在 “设备 名 称 ” 文 本 框 中 ， 输 入 设备 名 称 ， 在 “目标 ”文本 区 域 中 ， 选 中 “文件 ” 单 选 按钮 。 

[02 单 击 “.…” 按 钮 ， 显 示 如 图 17.23 所 示 “ 定 位 数据 库 文 件 ” 对 话 框 ， 在 “选择 文件 ”列表 中 选择 目 
标 文件 。 

0 3 连续 单 击 两 次 “确定 ”按钮 ， 返 回 “ 备 份 设备 ”对 话 框 ， 完 成 备份 设备 的 创建。 

04 展开“ 数据库 ”, 右 击 “company ”并 在 快捷 菜单 中 依次 选择 “任务 ”一 “备份 ”, 显示 “备份 数据 库 -company” 
对 话 框 。 在 “数据 库 ” 文 本 框 下 拉 列表 中 选择 “company” 选 项 ， 在 “备份 类 型 ”下 拉 列 表 中 选择 “ 事 
务 日 志 ” 选 项 。 


图 17.23 打开 “定位 数据 库 文件 ”对 话 框 


5 在 “目标 ”文本 区 中 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 图 17.24 所 示 “ 选 择 备份 目标 ”对 话 框 。 选 择 “ 备 份 设备 ” 单 
选 按钮 ， 在 下 拉 列 表 框 中 选中 “company” 选 项 ， 单 击 “ 确 定 ”按钮 ， 返 回 “ 备 份 数据 库 -company” 对 话 框 。 
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17.24 选择 备份 目标 


06 单 击 “ 确 定 ”按钮 ， 显 示 如 图 17.25 所 示 “ 备 份 成 功 ”对 话 框 ， 事 务 日 志 备份 成 功 。 


Et SQL Server anagenent St 


名 


图 17.25 “备份 成 功 ”对 话 框 


2. 还 原 事务 日 志 备份 


还 原 事务 日 志 备份 ， 可 以 对 重要 数据 进行 恢复 。 


01 在 “Microsoft SQL Server Management Studio” 窗 口中, 右 击 “数据 库 ” 选 项， 在 快捷 菜单 中 选择 “还 
原 数 据 库 ” 选 项 ， 显 示 如 图 17.26 所 示 “ 还 原 数据 库 -” 对 话 框 。 

02 在 “目标 数据 库 ” 下 拉 列 表 框 中 ， 选 择 需要 还 原 的 数据 库 (以 company 为 例 ), 选中 “company” 选 项 ， 
选中 “ 源 设备 ” 单 选 按钮 ， 单 击 “.….” 按 钮 显示 “指定 设备 ”对 话 框 。 在 “备份 媒体 ”下 拉 列 表 中 选 


中 “备份 设备 ”选项 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 图 17.27 所 示 “ 选 择 备份 设备 ”对 话 框 。 在 “备份 设 
备 ” 下 拉 列 表 中 ， 选 择 “company” 选 项 。 


图 17.26 “还 原 数 据 库 -” 对 话 框 图 17.27 “选择 备份 设备 ”对 话 框 
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03 连续 单 击 两 次 “确定 ”按钮 ， 返 回 “还 原 数据 库 - company” 对 话 框 。 在 “选择 用 户 还 原 的 备份 集 ” 列 
表 中 ， 列 出 了 备份 设备 中 包含 的 所 有 备份 文件 ， 选 择 需要 还 原 的 事务 日 志文 件 。 

04 在 “选择 页 ”菜单 栏 中 ， 选 中 “选项 ”选项 ， 在 “恢复 状态 ”文本 区 域 中 ， 设 置 数据 库 的 恢复 状态 。 

05 单 击 “确定 ”按钮 ， 显 示 “ 还 原 成 功 ”对 话 框 ， 单 击 “确定 ”按钮 ， 完 成 对 事务 日 志 的 还 原 。 


注意 
蚊 要 还 原 事务 日 志 ， 首 选 要 还 原 备 份 数 据 库 ， 并 将 数据 库 置 于 “还 原 ” 状 态 。 


17.3.4 文件 和 文件 组 备份 与 还 原 


文件 和 文件 组 备份 是 指 对 数据 库 文件 或 文件 夹 进行 备份 , 但 不 对 事务 日 志 备份 。 使 用 此 方 
法 可 以 提高 数据 库 备 份 和 还 原 的 速度 。 这 里 以 company 数据 库 为 例 对 文件 和 文件 组 进行 备份 
与 还 原 。 

1. 文件 和 文件 组 备份 


当 数 据 库 大 小 和 性 能 要 求 使 完整 数据 库 备 份 显得 不 切实 际 ， 则 可 以 创建 文件 备份 “文件 
备份 ”包含 一 个 或 多 个 文件 (或 文件 组 ) 中 的 所 有 数据 。 


上 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 选 择 “数据 库 ” 选 项 ， 右 击 “company” 并 
在 快捷 菜单 中 依次 选择 “任务 ”一 “备份 ” 显示 如 图 17.28 所 示 的 “备份 数据 库 - company” 对 话 框 。 


RE 


图 17.28 “备份 数据 库 - company” 对 话 框 


0 .2 在 “数据 库 ” 下 拉 列表 中 选中 “company” 选 ” 03 单 击 “ 确 定 ” 返回 “备份 数据 库 - company” 对 
项 ， 在 “备份 类 型 ”下 拉 列表 中 选择 “完整 ”选项 ， 话 框 。 在 “目标 ”文本 域 中 ， 单 击 “ 添 加 ”按钮 ， 显 示 
在 “备份 组 件 ”文本 域 中 选择 “文件 和 文件 组 ” 单 、 如 图 17.30 所 示 “ 选 择 备份 目标 ”对 话 框 。 

选 按 钮 ， 显 示 如 图 17.29 所 示 “ 选 择 文件 和 文件 组 ” 

对 话 框 ， 选 中 “company” 复 选 框 。 
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和 译文 件 和 文件 组 = 
| EEEETEE 划 
日 Ch 流 选择 文件 或 备份 设备 作为 矢 份 目标 。 您 可 以 为 常 月 文 件 创 尘 备份 设备 。 
三 盘 上 的 目标 
他 文件 名 四): 
TENTETTTEEETCESEINESETCN 
个 盏 份 设备 加); 
全 选 B) 全 PC) 
| -一 
出 4 
17.29 “选择 文件 和 文件 组 ”对 话 杠 17.30 “选择 备份 目标 ”对 话 框 


04 单 击 “...” 按 钮 ， 显 示 “ 定 位 数据 库 文件 - WIN-HKSLEYF2MMT” 对 话 框 ， 选 择 “ 备 份 设备 ” 单 选 按 
钮 ， 在 备份 设备 下 拉 列 表 中 选中 “company” 选 项 ， 单 击 “ 确 定 ” 按 钮 ， 返 回 “备份 数据 库 - company” 
对 话 框 ， 显 示 如 图 17.31 所 示 “ 备 份 成 功 ”对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 。 


6 Re 


图 17.31 “备份 成 功 ”对 话 框 


2. 还 原文 件 和 文件 组 


文件 和 文件 组 备份 仅 可 以 还 原 到 其 所 属 的 数据 库 ,不 能 使 用 相同 的 结构 和 文件 名 创建 新 的 
空白 数据 库 , 并 尝试 还 原单 个 文件 组 备份 :必须 将 其 还 原 到 现 有 数据 库 , 或 在 其 他 位 置 执行 完 
整数 据 库 还 原 。 


上 在 “SQL Server Management Studio” 中 ,选择 “数据 库 ” 选 项 ， 右 击 “company”， 并 在 快捷 菜单 中 
依次 选择 “任务 ”一 “还 原 ” 一 “文件 和 文件 组 ” 打开“ 还原 文件 和 文件 组 - company” 对 话 框 ， 如 
图 17.32 所 示 。 


17.32 “还 原文 件 和 文件 组 - company” 对 话 框 
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0 .2 选择“ 源 设备 ” 单 选 按钮 ， 单 击 “...” 按 钮 显示 “指定 备份 ”对 话 框 。 在 “备份 媒体 ”下 拉 列 表 中 先 
中 “备份 设备 ”选项 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 图 17.33 所 示 “ 选 择 备份 设备 ”对 话 框 ， 在 “备份 设 
备 ”下 拉 列 表 框 中 ， 选 择 “company” 选 项 。 


图 17.33 选择 备份 设备 

03 连续 单 击 “ 确 定 ”按钮 ， 返 回 “还 原文 件 和 文件 组 - company” 对 话 框 ， 在 “选择 用 户 还 原 的 备份 集 ” 
文本 框 中 ， 选 中 需要 恢复 的 文件 组 ， 单 击 “ 确 定 ”按钮 开始 还 原 ， 还 原 成 功 后 显示 如 图 17.34 所 示 “ 还 
原 成 功 ”对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 。 


17.3.5 ”镜像 备份 


镜像 备份 是 独立 文件 (数据 文件 、 归 档 日 志 、 控 制 文件 ) 的 备份 。 类 似 于 操作 系统 级 的 文 
件 备份 。 镜 像 备 份 不 是 备份 集 或 备份 片 ， 也 没有 被 压缩 。 


01 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 单 击 “ 新 建 查询 ”按钮 。 在 左上 角 下 拉 列 表 
框 中 ， 选 择 需要 进行 镜像 备份 的 数据 库 ， 在 右 侧 窗口 中 输入 以 下 代码 : 


02 单 击 “ 执 行 ” 按钮， 显示 如 图 17.35 所 示 运 行 结果 。 
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0 .2 选择“ 源 设备 ” 单 选 按钮 ， 单 击 “...” 按 钮 显示 “指定 备份 ”对 话 框 。 在 “备份 媒体 ”下 拉 列 表 中 先 
中 “备份 设备 ”选项 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 图 17.33 所 示 “ 选 择 备份 设备 ”对 话 框 ， 在 “备份 设 
备 ”下 拉 列 表 框 中 ， 选 择 “company” 选 项 。 


图 17.33 选择 备份 设备 

03 连续 单 击 “ 确 定 ”按钮 ， 返 回 “还 原文 件 和 文件 组 - company” 对 话 框 ， 在 “选择 用 户 还 原 的 备份 集 ” 
文本 框 中 ， 选 中 需要 恢复 的 文件 组 ， 单 击 “ 确 定 ”按钮 开始 还 原 ， 还 原 成 功 后 显示 如 图 17.34 所 示 “ 还 
原 成 功 ”对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 。 


17.3.5 ”镜像 备份 


镜像 备份 是 独立 文件 (数据 文件 、 归 档 日 志 、 控 制 文件 ) 的 备份 。 类 似 于 操作 系统 级 的 文 
件 备份 。 镜 像 备 份 不 是 备份 集 或 备份 片 ， 也 没有 被 压缩 。 


01 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 单 击 “ 新 建 查询 ”按钮 。 在 左上 角 下 拉 列 表 
框 中 ， 选 择 需要 进行 镜像 备份 的 数据 库 ， 在 右 侧 窗口 中 输入 以 下 代码 : 


02 单 击 “ 执 行 ” 按钮， 显示 如 图 17.35 所 示 运 行 结果 。 
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0 .2 选择“ 源 设备 ” 单 选 按钮 ， 单 击 “...” 按 钮 显示 “指定 备份 ”对 话 框 。 在 “备份 媒体 ”下 拉 列 表 中 先 
中 “备份 设备 ”选项 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 图 17.33 所 示 “ 选 择 备份 设备 ”对 话 框 ， 在 “备份 设 
备 ”下 拉 列 表 框 中 ， 选 择 “company” 选 项 。 


图 17.33 选择 备份 设备 

03 连续 单 击 “ 确 定 ”按钮 ， 返 回 “还 原文 件 和 文件 组 - company” 对 话 框 ， 在 “选择 用 户 还 原 的 备份 集 ” 
文本 框 中 ， 选 中 需要 恢复 的 文件 组 ， 单 击 “ 确 定 ”按钮 开始 还 原 ， 还 原 成 功 后 显示 如 图 17.34 所 示 “ 还 
原 成 功 ”对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 。 


17.3.5 ”镜像 备份 


镜像 备份 是 独立 文件 (数据 文件 、 归 档 日 志 、 控 制 文件 ) 的 备份 。 类 似 于 操作 系统 级 的 文 
件 备份 。 镜 像 备 份 不 是 备份 集 或 备份 片 ， 也 没有 被 压缩 。 


01 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 单 击 “ 新 建 查询 ”按钮 。 在 左上 角 下 拉 列 表 
框 中 ， 选 择 需要 进行 镜像 备份 的 数据 库 ， 在 右 侧 窗口 中 输入 以 下 代码 : 


02 单 击 “ 执 行 ” 按钮， 显示 如 图 17.35 所 示 运 行 结果 。 
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0 .2 选择“ 源 设备 ” 单 选 按钮 ， 单 击 “...” 按 钮 显示 “指定 备份 ”对 话 框 。 在 “备份 媒体 ”下 拉 列 表 中 先 
中 “备份 设备 ”选项 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 图 17.33 所 示 “ 选 择 备份 设备 ”对 话 框 ， 在 “备份 设 
备 ”下 拉 列 表 框 中 ， 选 择 “company” 选 项 。 


图 17.33 选择 备份 设备 

03 连续 单 击 “ 确 定 ”按钮 ， 返 回 “还 原文 件 和 文件 组 - company” 对 话 框 ， 在 “选择 用 户 还 原 的 备份 集 ” 
文本 框 中 ， 选 中 需要 恢复 的 文件 组 ， 单 击 “ 确 定 ”按钮 开始 还 原 ， 还 原 成 功 后 显示 如 图 17.34 所 示 “ 还 
原 成 功 ”对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 。 


17.3.5 ”镜像 备份 


镜像 备份 是 独立 文件 (数据 文件 、 归 档 日 志 、 控 制 文件 ) 的 备份 。 类 似 于 操作 系统 级 的 文 
件 备份 。 镜 像 备 份 不 是 备份 集 或 备份 片 ， 也 没有 被 压缩 。 


01 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 单 击 “ 新 建 查询 ”按钮 。 在 左上 角 下 拉 列 表 
框 中 ， 选 择 需要 进行 镜像 备份 的 数据 库 ， 在 右 侧 窗口 中 输入 以 下 代码 : 


02 单 击 “ 执 行 ” 按钮， 显示 如 图 17.35 所 示 运 行 结果 。 
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0 .2 选择“ 源 设备 ” 单 选 按钮 ， 单 击 “...” 按 钮 显示 “指定 备份 ”对 话 框 。 在 “备份 媒体 ”下 拉 列 表 中 先 
中 “备份 设备 ”选项 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 图 17.33 所 示 “ 选 择 备份 设备 ”对 话 框 ， 在 “备份 设 
备 ”下 拉 列 表 框 中 ， 选 择 “company” 选 项 。 


图 17.33 选择 备份 设备 

03 连续 单 击 “ 确 定 ”按钮 ， 返 回 “还 原文 件 和 文件 组 - company” 对 话 框 ， 在 “选择 用 户 还 原 的 备份 集 ” 
文本 框 中 ， 选 中 需要 恢复 的 文件 组 ， 单 击 “ 确 定 ”按钮 开始 还 原 ， 还 原 成 功 后 显示 如 图 17.34 所 示 “ 还 
原 成 功 ”对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 。 


17.3.5 ”镜像 备份 


镜像 备份 是 独立 文件 (数据 文件 、 归 档 日 志 、 控 制 文件 ) 的 备份 。 类 似 于 操作 系统 级 的 文 
件 备份 。 镜 像 备 份 不 是 备份 集 或 备份 片 ， 也 没有 被 压缩 。 


01 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 单 击 “ 新 建 查询 ”按钮 。 在 左上 角 下 拉 列 表 
框 中 ， 选 择 需要 进行 镜像 备份 的 数据 库 ， 在 右 侧 窗口 中 输入 以 下 代码 : 


02 单 击 “ 执 行 ” 按钮， 显示 如 图 17.35 所 示 运 行 结果 。 


485 


0 .2 选择“ 源 设备 ” 单 选 按钮 ， 单 击 “...” 按 钮 显示 “指定 备份 ”对 话 框 。 在 “备份 媒体 ”下 拉 列 表 中 先 
中 “备份 设备 ”选项 ， 单 击 “ 添 加 ”按钮 ， 显 示 如 图 17.33 所 示 “ 选 择 备份 设备 ”对 话 框 ， 在 “备份 设 
备 ”下 拉 列 表 框 中 ， 选 择 “company” 选 项 。 


图 17.33 选择 备份 设备 

03 连续 单 击 “ 确 定 ”按钮 ， 返 回 “还 原文 件 和 文件 组 - company” 对 话 框 ， 在 “选择 用 户 还 原 的 备份 集 ” 
文本 框 中 ， 选 中 需要 恢复 的 文件 组 ， 单 击 “ 确 定 ”按钮 开始 还 原 ， 还 原 成 功 后 显示 如 图 17.34 所 示 “ 还 
原 成 功 ”对 话 框 ， 单 击 “ 确 定 ”按钮 即 可 。 


17.3.5 ”镜像 备份 


镜像 备份 是 独立 文件 (数据 文件 、 归 档 日 志 、 控 制 文件 ) 的 备份 。 类 似 于 操作 系统 级 的 文 
件 备份 。 镜 像 备 份 不 是 备份 集 或 备份 片 ， 也 没有 被 压缩 。 


01 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 单 击 “ 新 建 查询 ”按钮 。 在 左上 角 下 拉 列 表 
框 中 ， 选 择 需要 进行 镜像 备份 的 数据 库 ， 在 右 侧 窗口 中 输入 以 下 代码 : 


02 单 击 “ 执 行 ” 按钮， 显示 如 图 17.35 所 示 运 行 结果 。 
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17.3.6 ”密码 备份 


Microsoft SQL Server 2005 支持 密码 验证 功能 ， 管 理 员 在 备份 时 设置 密码 ， 当 恢复 时 需要 
使 用 该 密码 才能 正常 恢复 ， 否 则 即使 其 他 人 得 到 数据 库 的 备份 文件 也 无 法 还 原 该 数据 库 。 


1 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 单 击 “ 新 建 查询 ”按钮 。 在 左上 和 角 下 拉 列表 
中 选择 需 加 密 的 数据 库 (以 master 为 例 ) ， 在 右 侧 窗口 中 输入 以 下 代码 ; 


0 2 单 击 “ 执 行 ”按钮 ， 显 示 如 图 17.36 所 示 运 行 结果 。 此 时 打开 D 盘 即 可 看 到 已 备份 文件 。 
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17.3.7 ”用 快照 恢复 数据 库 


数据 库 快 照 可 以 为 数据 库 创建 一 个 在 某 个 时 间 点 上 的 只 读 副 本 ,适合 对 实时 性 要 求 不 高 的 
应 用 , 例如 工资 报表 、 数据 查询 等 ， 如 果 数 据 库 出 现 错误 ， 可 以 将 数据 库 恢复 到 创建 快照 时 的 


1. 创建 快照 


根据 源 数据 库 的 当前 大 小 , 确保 有 足够 的 磁盘 空间 存放 数据 库 快照 。 数据库 快照 的 最 大 大 
小 为 创建 快照 时 源 数据 库 的 大 小 。 


01 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 单 击 “ 新 建 查询 ”选项 。 在 左上 角 下 拉 列 表 
中 选择 需 加 密 的 数据 库 (以 company 为 例 )， 在 右 侧 窗口 中 输入 以 下 代码 : 


CREATE DATABASE newcompany ON 

( NAME = company, FILENAME = 'd:\newcompany.mdf' ) 
AS SNAPSHOT OF company; 

GO 


0 2 单 击 “执行 ”按钮 ， 显 示 如 图 17.37 所 示 运 行 结果 。 
03 依次 选择 “WIN-HKSLEYF2MMT” 一 “数据 库 ” 右 击 “ 数 据 库 快照 ”并 在 快捷 菜单 中 选择 “刷新 ” 选 
项 ， 如 图 17.38 所 示 。 
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图 17.38 刷新 结果 


2. 恢复 快照 


数据 库 快照 不 是 元 余 存 储 , 因此 不 针对 磁盘 错误 或 其 他 类 型 的 损坏 提供 任何 保护 功能 , 但 
是 如 果 在 联机 数据 库 中 发 生 用 户 错误 ， 可 以 将 数据 库 恢复 到 发 生 错误 之 前 的 数据 库 快照 。 


01 在 “Microsoft SQL Server Management Studio” 窗 口中 ， 单 击 “ 新 建 查询 ”选项 。 在 左上 角 下 拉 列 表 
中 选择 需 加 密 的 数据 库 (以 master 为 例 )， 在 右 侧 窗口 中 输入 以 下 代码 : 
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USE company; 

RESTORE DATABASE company from 
DATABASE SNAPSHOT="'newcompany'; 
GO 


0 2 单 击 “执行 ”按钮 ， 显 示 如 图 17.39 所 示 运 行 结果 。 
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图 17.39 代码 代码 执行 结果 


17.4 系统 补丁 


入 侵 者 通常 通过 操作 系统 上 的 漏洞 来 进入 数据 库 中 ， 盗 取 有 关 信 息 ， 所 以 在 安装 完 
Windows Server 2008 和 Microsoft SQL Server 2005 后 应 当 及 时 更 新 补丁 程序 , 避免 因 系 统 漏洞 
而 带 来 的 安全 威胁 。 


17.4.1 操作 系统 补丁 


Windows 操作 系统 是 一 个 非常 复杂 的 软件 系统 ， 难 免 会 存在 许多 的 程序 漏洞 ， 这 些 漏洞 
会 被 病毒 、 木 马 、 恶 意 脚本 以 及 黑客 利用 ， 从 而 影响 计算 机 的 使 用 、 网 络 的 安全 以 及 运行 的 畅 
通 。 因 此 微软 公司 会 不 断 发 布 升级 程序 供用 户 安装 。 这 些 升级 程序 就 是 “系统 补丁 "， 因 此 及 
时 为 Windows 安装 系统 补丁 是 十 分 必要 的 。 


01 在 浏览 器 地 址 栏 中 输入 Windows Server 2008 服务 器 操作 系统 最 新 补丁 下 载 地 址 
http;//technet.microsoft.com/zh-cn/bb871013.aspx， 打 开 如 图 17.40 所 示 “ 下 载 中 心 -Windows Server” 窗 口 。 

2 从 “下 载 中 心 -Windows Server" 窗 口中 ， 显 示 Windows Server 2008 服务 器 操作 的 最 新 补丁 包 是 
Windows Server 2008 Service Pack 2 Release Candidate 和 Windows Vista Service Pack 2 Release 
Candidate 所 有 语言 单行 版 本 (KB948465)， 单 击 “Windows Server 2008 Service Pack 2 Release 
Candidate 和 Windows Vista Service Pack 2 Release Candidate 所 有 语言 单行 版 本 (KB948465)” 
链接 ， 打 开 如 图 17.41 所 示 “ 下 载 详细 信息 ”窗口 。 
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图 17.40 “下 载 中 心 -Windows Server” 窗 口 图 17.41 “下 载 详细 信息 ”窗口 
03 单 击 “下 载 ”按钮 ， 即 可 开始 下 载 ， 下 载 完成 后 ， 使 用 默认 设置 进行 安装 即 可 。 


17.4.2 数据库 补丁 


随 着 最 近 绝密 数据 防线 屡 被 突破 的 消息 ， 人们 的 目光 都 聚集 在 了 数据 库 安全 方面 。 数据库 
以 持续 增长 的 速度 遭受 到 黑客 的 直接 攻击 ， 因 此 数据 库 补 丁 极其 重要 。 


和 人 在 浏览 器 中 打开 SQL Server 最 新 补丁 程序 下 载 地 址 httpyftechnet microsoft com/zh-cnbb871006.aspx。 
Microsoft SQL Server 2005 的 最 新 补丁 包 为 “Service Package3”， 单 击 “SQL Server 2005 SP3” 超 级 链接 
打开 如 图 17.42 所 示 “ 下 载 详细 信息 ”窗口 。 
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图 17.42 “下 载 详细 信息 ”窗口 


2 在 “下 载 详细 信息 ”窗口 中 ， 选 择 X86 架构 的 补丁 包 ， 点 击 “ 下 载 ”按钮 即 可 开始 下 载 ， 下 载 完 后 ， 使 
用 默认 设置 进行 安装 即 可 。 
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小 结 


SQL Server 2005 是 一 个 全 面 的 数据 平台 ， 使 用 集成 的 商业 智能 工具 提供 了 企业 级 的 数据 


管理 ,为 关系 型 数据 和 结构 化 数据 提供 了 更 安全 可 靠 的 存储 功能 。 通 过 对 传输 数据 的 加 密 ， 数 


据 


库 访问 权限 的 安全 控制 、 补 丁 的 更 新 ,保证 数据 库 安全 , 为 了 防止 数据 库 遭 到 不 可 逆转 的 破 


坏 ， 管 理 员 应 当 对 数据 做 好 安全 备份 工作 。 


习 题 


. 常用 的 数据 库 有 哪些 ， 各 有 什么 优点 ? 

使 用 MSBA 可 以 扫描 哪些 方面 的 漏洞 ? 

. 如 果 数 据 库 遭 到 破坏 应 如 何 还 原 数 据 ? 

. 通过 哪些 手段 可 以 加 强 数 据 库 服 务 器 的 安全 性 ? 


实验 : 禁止 对 数据 库 的 写 入 和 修改 


实验 目的 
掌握 保护 数据 库 安全 的 基本 方法 。 

实验 内 容 

禁止 对 数据 库 的 写 入 和 修改 , 保证 非法 入 侵 者 利用 数据 库 脚本 完成 对 数据 的 修改 ,从 而 保 


上 mm PP 一 


证 数据 库 的 安全 。 


1. 打开 数据 库 属 性 。 
2. 设置 数据 库 为 只 读 。 
3. 完成 对 只 读数 据 库 的 安全 配置 。 
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Windows Server 2008 系统 


安全 新 技术 


系统 安全 性 问题 一 直 是 售 受 用 户 关 注 的 问题 , 也 是 微软 公司 产品 的 研发 方 
向 。Windows Server 2008 网 络 操作 系统 ， 不 仅 凝 聚 了 微软 多 年 以 来 的 成 熟 技 


术 ， 而 且 新 增 了 许多 实 


功能 。 无 论 是 系统 安全 性 ， 还 是 网 络 服务 的 功能 性 ， 


都 有 了 质 的 飞跃 。 本 章 主 要 对 Windows Server 2008 系统 安全 方面 的 新 特性 和 


新 技术 加 以 介绍 。 


本 章 导 读 


昌 系统 新 增 安 全 功能 
旺 升级 的 安全 特性 


加 ”应 用 服务 器 角色 安全 新 特性 


Ry 
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18.1 系统 新 增 安全 功能 


相对 于 先前 的 Windows Server 2003 和 Windows 2000 Server 系统 ，Windows Server 2008 
新 增 了 不 少 安全 功能 ， 例 如 BitLocker 驱动 加 密 、 网 络 访问 保护 、 用 户 帐户 控制 以 及 高 级 安全 
Windows 防火 墙 等 。 


18.1.1 BitLocker 驱动 加 密 


BitLocker 驱动 加 密 是 Windows Server 2008 中 一 项 基于 硬件 加 密 的 关键 新 安全 功能 ,用 于 
保护 分 支 办 公 室 中 的 服务 器 安全 。 


1. BitLocker 的 实现 方式 与 功能 


BitLocker 驱动 加 密 的 实现 模式 有 TPM (受信 平台 模块 ) 芯片 模式 和 U 盘 模 式 两 种 ， 分 别 
适用 于 不 同 的 系统 环境 。 


TPM 芯片 模式 。 要求 服务 器 主板 集成 TPM v1.2 芯片 ,系统 会 将 解锁 磁盘 所 需 的 根 密 钠 
存放 在 TPM 芯片 里 ; 

mm U 盘 模 式 。 如 果 没 有 TPM 芯片 ， 但 计算 机 BIOS 支持 开机 时 访问 U 盘 ， 还 可 以 采用 
盘 模式 实现 BitLocker 驱动 器 加 密 。 可 以 将 解锁 磁盘 所 需 的 启动 密 钥 存放 在 U 盘 里 ， 开 
机 时 必须 插入 UU 盘 ， 才 能 解锁 加 密 的 Windows 卷 ， 访 问 Windows 系统 。 


TPM 模式 可 以 实现 最 严格 的 安全 保护 措施 。 TPM 模式 除了 可 实现 U 盘 模 式 所 支持 的 全 卷 
加 密 之 外 ,还 支持 系统 启动 部 件 的 完整 性 检测 。 另 外 , 在 企业 淘汰 处 理 服务 器 时 ,使 用 BitLocker 
加 密 功 能 可 以 确保 重要 数据 信息 不 会 外 泄 。 

在 设置 BitLocker 加 密 时 ， 系 统 会 把 MBR ( 主 引导 记录 )、NTFS 卷 的 引导 扇 区 、NTFS 
引导 代码 、BitLocker 密 钥 等 启动 部 件 做 一 个 “快照 ”， 保 存在 TPM 芯片 里 。 每 次 系统 启动 时 ， 
会 自动 与 TPM 芯片 里 保存 的 快照 进行 比较 ， 只 有 发 现 这 些 启 动 部 件 没 有 发 生变 化 ， 才 会 继续 
解密 过 程 。 很 显然 ，USB 模式 的 BitLocker 加 密 ， 无 法 实现 启动 部 件 的 完整 性 检测 。 

BitLocker 驱动 器 加 密 可 以 提供 如 下 功能 : 


于 系统 脱 机 时 的 数据 保护 。 加 密 整 个 Windows 卷 ， 包 括 用 户 数据 和 系统 文件 、 休 限 文件 、 
换 页 文件 和 临时 文件 ; 为 第 三 方 应 用 程序 提供 伞 式 保护 ; 第 三 方 应 用 程序 安装 在 加 密 卷 
上 时 会 自动 受益 ; 

于 确保 引导 过 程 的 完整 性 。 因 为 它 可 以 提供 一 种 方法 来 检查 是 否 保持 了 早期 引导 文件 的 完 
整 性 ， 并 且 这 些 文件 未 被 恶意 修改 〈 例 如 通过 引导 区 病毒 修改 ) ; 
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于 防止 系统 受到 脱 机 情况 下 基于 软件 的 攻击 。 任 何 可 以 引导 系统 的 蔡 代 软件 ， 都 无 法 访问 
保护 此 Windows 卷 的 根 密 铀 ; 

曙 当 被 自 改 时 锁定 系统 。 如 果 任何 监控 文件 被 自 改 , 则 系统 将 不 启动 。 由 于 系统 无 法 正常 
启动 ， 这 会 警告 用 户 发 生 了 签 改 情况 ; 

m 通过 用 以 下 方式 简化 设备 的 重复 利用 :缩短 以 安全 方式 永久 删除 驱动 器 上 所 有 数据 的 时 
间 ; 仅 通过 删除 访问 驱动 器 所 需 的 密 钥 ， 就 可 以 使 加 密 卷 上 的 数据 变 为 无 用 数据 。 


要 使 用 BitLocker 驱动 器 加 密 ， 计 算 机 必须 满足 由 BitLocker Windows Server 2008 系统 徽 
标 要 求 指定 的 要 求 ， 主 要 包括 如 下 内 容 : 

四 系统 必须 具备 TPM v1.2 芯片 ; 

mm TPM 可 对 系统 引导 过 程 完整 性 进行 测量 和 报告 ; 

里 系统 必须 具备 符合 TCG v1.2 (受信 计算 组 ，Trusted Computing Group) 的 BIOS1; 

@ BIOS 可 为 操作 系统 引导 建立 信任 链 ; 

四 系统 必须 包括 对 TCG 指定 的 “静态 根 可 信 度 测量 ”(SRTM) 的 支持 ; 

日 系统 BIOS 必须 支持 UU 盘 启 动 ， 包 括 引 导 操 作 系 统 时 在 UU 盘 上 读 写 数据 ; 

计算 机 上 至 少 具备 两 个 要 运行 的 卷 。“ 操 作 系统 卷 ”( 或 引导 卷 ) 是 包含 Windows 操作 
系统 及 其 支持 文件 的 卷 , 它 必须 使 用 NTFS 来 格式 化 。 此 卷 上 的 数据 由 BitLocker 保护 ; 
“系统 卷 ” 是 在 BIOS 引导 平台 后 加 载 Windows 计算 机 时 所 需 的 特定 硬件 文件 所 在 的 卷 。 
为 使 BitLocker 正常 工作 ， 系 统 卷 不 得 加 密 ， 必 须 有 别 于 操作 系统 卷 ， 并 且 必 须 使 用 
NTFS 进行 格式 化 。 系 统 卷 的 可 用 空间 至 少 为 1.5 GB。 写 入 此 卷 的 数据 (包括 附加 的 用 
户 数据 ) 不 受 BitLocker 保护 。 


2. BitLocker 在 服务 器 上 的 应 用 


部 署 多 种 安全 防御 措施 的 中 心机 房 可 以 确保 服务 器 的 物理 安全 ,但 是 对 于 分 支 机构 中 的 服 
务 器 而 言 ， 物 理 安全 防护 是 非常 脆弱 的 。 在 此 类 服务 器 上 启用 BitLocker 功能 后 即 可 对 操作 系 
统 卷 加 密 , 还 可 以 针对 IT 管理 员 希 望 用 WMI 保护 的 任何 数据 卷 来 通过 WMI 启用 。BitLocker 
驱动 器 加 密 为 服务 器 提供 的 安全 防护 功能 如 下 : 


PIN 支持 。 对 于 将 重启 动 速度 视 为 一 种 因素 或 在 重启 动 时 无 法 实现 人 为 干预 的 服务 器 ， 
建议 不 要 启用 PIN 功能 。 在 许多 服务 器 环境 中 ， 正 常 运行 时 间 和 远程 管理 至 关 重 要 ; 
四 启动 密 钥 支持 。 对 服务 器 支持 USB 启动 密 钥 , 确保 系统 只 有 在 USB 启动 密 钥 的 支持 下 
才能 启动 。 需 要 注意 的 是 ,每 次 重新 启动 服务 器 时 都 需要 人 为 干预 才能 实现 最 佳 的 数据 

保护 。 另 外 ， 保 存 启动 密 钥 的 U 盘 也 要 妥善 保管 ， 避 免 使 用 后 遗留 在 服务 器 上 ; 

四 密 铀 链 。 保 护 服务 器 数据 卷 的 密 钥 独立 于 保护 操作 系统 卷 的 密 钥 。 要 使 系统 自动 安装 这 
些 卷 , 还 要 将 保护 数据 卷 的 密 钥 链 在 加 密 状态 下 存储 在 当前 引导 的 卷 上 。 特 别 是 , 在 当 
前 引导 卷 的 注册 表 中 有 一 个 外 部 包装 密 铀 (EWK) ， 它 是 一 个 256 位 的 AES 密 钥 ， 用 
于 保护 数据 卷 的 VMK ( 卷 主 密 钥 ，Volume Master Key)。 由 于 EWK 存储 在 加 密 的 操作 
系统 卷 中 , 因此 它 受 BitLocker 以 及 Windows Server 2008 系统 自身 的 保护 。 如 果 操 作 系 
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统 进入 恢复 模式 ， 则 数据 卷 将 一 直 受到 保护 ， 直 到 操作 系统 退出 恢复 模式 为 止 ; 

到 自动 解锁 。 自 动 解锁 功能 满足 的 是 在 引导 期 间 对 数据 卷 自动 解锁 而 不 需要 人 为 干预 的 需 
要 。 启 用 自动 解锁 时 可 将 数据 卷 EWK 的 纯 文本 副本 提交 到 所 引导 操作 系统 的 注册 表 
中 。 在 没有 成 功 访问 加 密 操作 系统 卷 的 情况 下 , 无 法 访问 数据 卷 上 的 数据 。 首 次 尝试 从 
Windows 读 取 或 查询 数据 卷 会 导致 其 VMK 被 解密 (通过 从 注册 表 读 取 EWK 来 实现 )。 
如 果 在 操作 系统 卷 中 关闭 BitLocker, 则 BitLocker 还 会 清除 操作 系统 卷 注 册 表 中 的 密 铀 
资料 。 在 这 些 情况 下 ， 用 户 必须 提供 密 钥 才能 访问 数据 卷 ; 

a 群集 配置 。Windows Server 2008 中 的 BitLocker 驱动 器 加 密 可 以 很 好 地 支持 群集 配置 ; 

数据 卷 的 恢复 。 数 据 卷 的 恢复 类 似 于 操作 系统 卷 的 恢复 。 在 出 现 故障 前 (最 好 在 设置 时 )， 
必须 在 其 他 介质 上 存储 EWK 的 副本 。 如 果 数据 卷 损坏 、 被 移动 到 新 平台 或 操作 系统 卷 
无 法 为 自动 解锁 检索 EWK， 则 用 户 可 插入 含有 EWK 副本 的 存储 介质 。 


3. BitLocker 安全 注意 事项 


任何 安全 措施 都 不 可 能 做 到 万 无 一 失 。 同 样 ，BitLocker 也 无 法 为 计算 机 防御 所 有 可 能 的 
攻击 。 如 果 USB 启动 密 钥 保留 在 计算 机 中 ,或 者 PIN、Windows 登录 密码 没有 保密 , 则 BitLocker 
保护 可 能 也 不 起 作用 。 

仅 TPM 身份 验证 模式 ( 即 没有 启动 密 钥 或 PIN) 提供 最 透明 的 组 织 用 户 体验 ， 而 这 需要 
基线 级 别 的 数据 保护 以 符合 安全 策略 。 仅 TPM 模式 最 容易 部 署 、 管 理 和 使 用 。 这 更 适合 于 无 
人 参与 的 计算 机 或 必须 在 无 人 参与 时 重新 启动 的 计算 机 。 

但 是 ， 仅 TPM 模式 提供 最 少量 的 数据 保护 。 该 模式 防护 某 些 修改 早期 启动 组 件 的 攻击 ， 
但 是 防护 级 别 受 操作 系统 、 硬 件 或 BIOS 中 的 潜在 安全 漏洞 的 影响 。 添 加 PIN 或 USB 启动 密 
钥 可 以 帮助 减少 很 多 此 类 攻击 。 如 果 您 组 织 的 几 个 部 门 在 移动 计算 机 上 具有 认为 非常 敏感 的 数 
据 ， 则 考虑 在 这 些 计算 机 上 部 署 具 有 多 重 身份 验证 的 BitLocker。 


4. 安装 和 应 用 BitLocker 


(1) 为 BitLocker 驱动 器 加 密 设 置 磁盘 卷 


BitLocker 驱动 器 加 密 对 服务 器 磁盘 分 区 的 格式 有 严格 要 求 ， 因 此 部 署 操作 系统 之 前 ， 必 
须 先 在 希望 应 用 BitLocker 驱动 器 加 密 的 计算 机 上 ,按照 需要 设置 磁盘 卷 ,然后 再 安装 Windows 
Server 2008。 


01 用 Windows Server 2008 安装 光盘 引导 计算 机 ， 显 示 如 图 18.1 所 示 “ 安 装 Windows” 对 话 框 。 
0 2 单 击 左下 方 的 “修复 计算 机 ”链接 ， 显 示 如 图 18.2 所 示 “ 系 统 恢复 选项 ”对 话 框 ， 由 于 是 全 新 的 硬盘 ， 
这 里 应 该 是 空 的 ， 如 果 硬盘 上 存在 其 他 Windows 系统 ， 则 将 显示 在 该 列表 中 。 
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到 
Bi 0 


I 


和 可 以 单 击 “ 加 载 驱 动 程序 ”， 将 驱动 程序 
je 


图 18.1 “安装 Windows” 对 话 框 图 18.2 “系统 恢复 选项 ”对 话 框 


03 单 击 “ 下 一 步 ”按钮 ， 显 示 如 图 18.3 所 示 “ 选 择 恢复 工具 ”对 话 框 。 

04 单 击 “ 命 令 提 示 符 ” 链 接 ， 打开 命令 提示 符 窗口。 输入 diskpart 命令 并 按 “Enter” 键 进入 DISKPART> 
提示 符 。 

05 在 DISKPART> 提 示 符 下 ， 输 入 select disk 0 命令 并 按 “Enter” 键 ， 以 选中 该 磁盘 。 

06 输入 clean 命令 并 按 “Enter” 键 ， 清 空 该 磁盘 上 的 分 区 表 。 

0 7 输入 以 下 命令 ， create partition primary size=2000， 并 按 “Enter” 键 ， 创 建 一 个 2 GB 的 主 分 区 。 

0 8 输入 以 下 命令 ， assign letter=M， 并 按 回 车 键 ， 将 该 分 区 的 盘 符 设置 为 M。 

0 9 输入 active 命令 并 按 “Enter” 键 ， 将 该 分 区 设置 为 活动 分 区 。 操 作 结果 如 图 18.4 所 示 。 


各 系 统 恢 复 达 硕 划 


选择 依 复工 具 
换 作 系统 ， 未知 [ 林 知 ) 本 地 谱 序 ] 


te 

和 入 中 这 原 下 个 和 器 或 个 人 计 攻 机 
= Mindovs 内 丰 沦 疡 T 具 

[i rT 


en 
x | umes | 


图 18.3 “选择 恢复 工具 ”对 话 框 图 18.4 创建 并 激活 系统 卷 


1 0 输入 以 下 命令 : create partition primary size=100000， 并 按 “Enter” 键 ， 创 建 Windows 操作 系统 分 区 。 
1 二 输入 以 下 命令 ，assign letter=C， 并 按 “Enter” 键 ， 将 该 分 区 的 盘 符 设置 为 C。 

1 2 输入 以 下 命令 ,create partition primary， 并 按 “Enter” 键 ， 将 剩余 磁盘 空间 作为 数据 分 区 。 

1 3 输入 以 下 命令 ,assign letter=E， 并 按 “Enter” 键 ， 将 该 分 区 的 盘 符 设置 为 E。 

1 4 输入 以 下 命令 : list volume， 并 按 “Enter” 键 ， 检 查 新 建 的 所 有 分 区 。 显 示 结 果 如 图 18.5 所 示 。 

1 5 输入 以 下 命令 exit， 退 出 DISKPART> 提 示 符 。 

1 6 在 命令 提示 符 下 分 别 输入 以 下 命令 并 按 “Enter” 键 : 


format C: /Y /Q /FS:NTFS 
format E: /Y /Q /FS:NTEFS 
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format M: /Y /Q /FS:NTFS 


把 所 有 主 分 区 格式 化 为 NTFS 文件 系统 ， 如 图 18.6 所 示 。 


Saal 区 
站 


图 18.5 创建 Windows 分 区 和 数据 分 区 18.6 格式 化 所 有 分 区 


1 7 关闭 打开 的 命令 提示 符 窗口 ， 关 闭 “系统 恢复 选项 ”对 话 框 ， 回 到 Windows Server 2008 系统 安装 页 
面 ， 按 照常 规 方式 将 Windows Server 2008 安装 在 先前 创建 的 分 区 C: 上 即 可 ， 如 图 18.7 所 示 。 
一 


筠 和 扯 敬 mmam 


您 相生 后 ndows 安装 在 何 处 


3 HK 本 
> a0m L608 主 4 区 
过 HE [7 
六 04E3 oo0 4 的 203 的 主 分 区 
作 贿 EE 3 


18.7 安装 Windows Server 2008 


(2) 安装 BitLocker 


默认 情况 下 ，Windows Server 2008 系统 中 的 BitLocker 驱动 器 加 密 功 能 组 件 并 未 随 系统 自 
动 安装 ， 管 理 员 可 以 通过 “添加 功能 ”的 方式 安装 BitLocker， 如 图 18.8 所 示 。 安 装 BitLocker 
功能 后 ， 可 根据 需要 对 其 进行 设置 和 维护 。 需 要 注意 的 是 ， 在 服务 器 上 安装 BitLocker 驱动 器 
加 密 组 件 后 ， 必 须 重新 启动 计算 机 。 
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图 18.8 安装 BitLocker 组件 


5. 基于 U 盘 模式 的 BitLocker 加 密 


并 非 所 有 的 计算 机 都 已 经 集成 TPM 芯片 ， 但 几乎 所 有 的 计算 机 上 都 可 以 使 用 U 盘 ， 基 于 
TU 盘 模式 的 BitLocker 加 密 方法 实现 简单 ， 适 合 于 所 有 用 户 。 需 要 注意 的 是 ， 为 了 确保 服务 器 
系统 安全 ， 建 议 准备 一 个 “专项 专用 ”的 U 盘 ， 以 免 加 密 信息 泄露 或 感染 病毒 。 


0 1 单机 “开始 ”按钮 ， 在 “开始 搜索 ”文本 框 中 输入 “上 2 双击 “控制 面板 设置 启用 高 级 启动 选项 ” 

“gpedit.msc” 并 回 车 , 打开 “本 地 组 策略 编辑 器 ”窗口 。 策略 ， 显 示 如 图 18.10 所 示 “ 控 制 面板 设置 : 

依次 展开 “计算 机 配置 ”一 “管理 模板 ”一 “Windows ”启用 高 级 启动 选项 属性 ”对 话 框 。 首先, 选择 

组 件 ” 一 “BitLocker 驱动 器 加 密 ”节点 , 如 图 18.9 所 示 。 “已 启用 ” 单 选 按钮 ， 此 时 “没有 兼容 的 TPM 
时 人 允许 BitLocker” 复 选 框 会 自动 选中 ， 然 后 ， 
音 击 “应 用 ”按钮 保存 设置 即 可 。 


ES MS TH Hi Either 
作 VSB 闪存 并 动 器 上 需要 启动 密 钥 ) 
有 TH 时 计算 机 的 设置 : 

配置 TPW 启动 密 胃 选 硕 : [允许 用 户 8 汗 或 由 过 

配置 TP 启动 FTN 允许 用 户 创建 或 水 过 


上 上 启 二 外。 到 
支持 于 ; 至 少 Windws Wists 
上 一 个 设置 四 | 下 一 个 设 轩 中 
取消 “| _ 应 用 的 
图 18.9 “本 地 组 策略 编辑 器 ”窗口 图 18.10 “控制 面板 设置 启用 高 级 启动 选项 


属性 ”对 话 框 


497 


属 Windows Server 2008 系统 安全 管理 实战 指南 


注意 Windows Server 2008 系统 默认 是 禁用 基于 盘 模 式 的 驱动 器 加 密 的 ， 通 过 上 述 设 
置 即 可 激活 该 功能 。 


03 在 “控制 面板 ”窗口 中 ， 依 次 打开 “安全 ”一 “04 单 击 “ 继 续 BitLocker 驱动 嚣 加密” 按钮 ， 
“BitLocker 驱动 器 加 密 ” 窗口 , 单 击 “ 启 用 BitLocker” 显示 “设置 BitLocker 启动 首选 项 ”对 话 框 ， 如 
按钮 ， 显 示 “BitLocker 驱动 器 加 密 平台 检查 ”对 话 框 ， 图 18.12 所 示 。 由 于 当前 计算 机 并 未 集成 TPM 芯 
片 ， 所 以 相关 选项 均 显示 为 “灰色 ”。 


如 图 18.11 所 示 。 


[es = 
© of DitLocker 颈 动 器 加 密 
GO i " 厨 [= 加 设置 BitLocker 启动 首选 项 
对 9 MM BE TR 两 | 
了 itLacker 酉 动 涯 加密 对 数据 加 密 并 进行 保护。 He 
nt 


使 用 没有 附加 密 角 的 Vitiockor 0 
每 一 次 启动 时 要 求 TIN D) 
郑 全 每 一 次 启动 时 要 求 启动 VSB 密 角 (5) 


中 


Fiber 


启用 BtLosker 驱动 吕 加 至 之 前 必须 了 多 信 息 ? 


图 18.11 “BitLocker 驱动 器 加 密 平台 检查 ”对 话 杠 图 18.12 “设置 BitLocker 启动 首选 项 ”对 话 杠 


下 BitLecker 驱动 加 加 密 
@ rie ha 


插入 可 入 动 UsB 内 存 设备 ， 寺 入 8 器， 然后 者 “保存 ”* 
一 EEEEENEI 


0 5 单 击 “ 每 一 次 启动 时 要 求 启动 USB 密 钥 ” 选 项 ， 
显示 如 图 18.13 所 示 “ 保 存 启动 密 钥 ” 对 话 框 。 按 照 提 
示 ， 插 入 事先 准备 好 的 U 盘 即 可 。 


图 18.13 “保存 启动 密 钥 ”对 话 框 
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个 BitLecker 村 动 加 加 密 = 名 | 
二 BitLecker 驱动 器 加 密 


保有 恢复 宕 朋 
保存 收复 安 码 ， 在 BitLecker 阻止 计算 机 启动 时 需要 使 用 它 。 


6 选中 U 盘 , 单 击 “ 保 存 ”按钮 显示 如 图 18.14 ~ 
和 保存 密码 中 
所 示 “ 保 存 恢复 密码 ”对 话 框 。 用 户 可 以 选择 “在 二 


PA 打印 密码 ) 


USB 驱动 器 上 保存 密码 ” 选项， 也 可 以 选择 “在 文件 
夹 中 保存 密码 ”选项 , 但 建议 选择 “打印 密码 ”选项 。 
此 时 会 再 次 要 求 插入 U 盘 ， 单 击 “ 保 存 ” 按 钮 建议 
将 启动 密码 和 恢复 密码 分 开 存储 ， 提 高 安全 性 。 


建议 ,保存 居 复 宙 和 4 多 个 副本 。 


取消 
图 18.14 “保存 恢复 密码 ”对 话 杠 
07 恢复 密码 保存 成 功 后 ， 单 击 “ 下 一 步 ” 按钮 ， “08 单 击 “继续 ” 按钮， 显示 如 图 18.16 所 示 “ 必 
显示 如 图 18.15 所 示 “加密 卷 ”对 话 框 。 默认 情况 下 ， 须 重新 启动 计算 机 ”对 话 框 ， 重 启 时 需要 插入 保存 


BitLocker 会 对 系统 卷 进行 加 密 ， 加 密 之 前 将 首先 进 ”启动 密 钥 的 U 盘 , 以 后 每 次 启动 计算 机 都 要 用 到 该 
行 系统 检查 。 U 盘 。 


不 1itlLocker 并 动 器 加密 


0 BitLocker 驱动 器 加 密 


选 只 是 C; Le 过 
I 芽 梧 过 程 中 将 全 条 响 计算 机 性 能 并 会 使 月 磅 GO | 加 


ET 


ee Intlacker 本 动因 达 对 雪 据 加 记 并 进行 集 护 。 9 
A nt 
和 i JE terer 加之 前 公 肌 了 人 " 
i 六 

人 ce i 
i | 
让 qt 
Dial 稍 后 本 新 启动) 
bl ba 
图 18.15 “加 密 卷 ”对 话 框 图 18.16 “必须 重新 启动 计算 机 ”对 话 杠 


09 单 击 “现在 重启 动 ”按钮 ， 重 新 启动 计算 机 。 重 新 启动 之 后 ， 系 统 将 开始 进行 BitLocker 加 密 操作 ， 用 
户 可 以 在 系统 托盘 处 查看 具体 进度 。 


使 用 BitLocker 加 密 系统 卷 完 成 后 ， 在 “服务 器 管理 器 ”控制 台中 打开 “磁盘 管理 ”窗口 ， 
系统 卷 状态 显示 为 “启动 ， 页 面 文件 ， 故 障 转 储 ， 届 辑 驱动 器 ”， 如 图 18.17 所 示 ， 而 “文件 
系统 ”也 变 为 “NTFS (BitLocker 已 加 密 )” 状 态 。 此 时 ， 如 果 通 过 其 他 操作 系统 读 取 Windows 
Server 2008 的 系统 所 在 卷 ， 将 被 提示 “驱动 器 不 可 用 ”， 充 分 保证 系统 数据 的 安全 。 
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文件 中” 报 作 由、 理 看 W) 帮助 
名 中 | 产 四 卓 史 | 加 X 甸 号 名 加 
二 [二 筷 昌 卷 列 表 + 村 缠 图 
回 训 角色 
上 订单 基本 了 TP Ditoske 已 加 于】 拓 杰 太仓 《有 E， 抽 文件 ， 克 
Ee 地 好 (大 统 , 活动 主 分 区 ) 
| me:) 而 天 本 mms 相好 人 往 分 区 ) 
国 忌 8 工具 | 呈 6:) 简单 基本 FATs2 枯 记 斥 好 颖 动 ， 主 分 区 ) 
国 这 ee 
国 
7 | 到 
日 讽 本 和 i 了 
日 四 品 
i su | 村 
lm [La | Pe ES 
| 
本 
er 和 主 分 区 ) 本 
ay 区 | 


I [ 
图 18.17 加 密 后 的 系统 郑 


18.1.2 网 络 访问 保护 


NAP 【网络 访问 保护 ，Network Access Protection) 是 Windows Server 2008 的 一 项 重要 功 
能 ， 解 决 客户 端 无 法 满足 企业 安全 要 求 的 问题 。 


1. NAP 方案 概述 


NAP 系统 将 网 络 划分 为 4 个 部 分 ， 即 外 网 、 更 新 服务 器 组 、 受 限 访问 区 和 完全 访问 区 ， 


如 图 18.18 所 示 。 
.NI ey 


完全 访问 区 


Intemet 


图 18.18 启用 NAP 系统 的 网 络 结构 


NAP 支持 Windows Vista 和 Windows XP SP3 客户 端 。 客 户 端 第 一 次 连接 网 络 时 ， 首 先 要 
验证 健康 策略 ,同时 将 计算 机 和 健康 要 求 策 略 进行 验证 , 这 些 健康 要 求 策略 由 各 种 SHAs 和 系 
统 健康 验证 器 (System health validators，SHVs) 定义 。 如 果 计 算 机 符合 要 求 ， 可 以 通过 多 种 
方式 授予 计算 机 完全 访问 的 权限 。 不 符合 健康 要 求 的 计算 机 则 被 授予 受 限 访问 权限 。 另 一 种 方 
法 是 允许 计算 机 完全 访问 ， 但 将 计算 机 标记 为 不 符合 健康 要 求 ， 在 只 监视 环境 内 使 用 NAP 的 
情况 下 , 可 能 会 用 到 此 方法 。 为 不 符合 要 求 的 计算 机 定义 的 受 限 访问 网 络 有 些 情况 下 是 限制 连 
接 ， 有 些 情 况 下 是 限制 连接 的 时 间 。 启 用 受 限 网 络 之 后 ， 首 先 选择 受 限 网 络 的 限制 项 目 ， 这 样 
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客户 端 才 可 以 访问 修复 服务 器 和 健康 更 新 资源 来 更 新 客户 端的 健康 状况 。 也 就 意味 着 这 些 服务 
器 /资源 必须 是 受 限 网 络 可 用 的 。 

如 果 客户 端 不 支持 NAP， 也 不 符合 健康 要 求 ， 则 需要 通过 其 他 方法 使 其 符合 健康 要 求 。 
若 正 在 使 用 “ 仅 监视 ”NAP 模式 ， 客 户 端 具有 完全 访问 权限 ， 用 户 可 以 继续 发 送 客户 端 更 新 ， 
使 客户 端 符合 健康 要 求 。 若 正在 使 用 受 限 访问 NAP 模式 ， 则 只 有 更 新 之 后 ， 客 户 端 才 具 有 完 
全 访问 权限 。 这 里 应 该 注意 的 是 ，NAP 不 是 更 新 客户 端的 方法 。 获 取 修 补 程序 、 恶 意 软件 定 
义 、 病 毒 定义 更 新 之 后 ， 可 以 使 用 系统 中 心 配置 管理 器 〈System Center Configuration Manger， 
SCCM) 或 组 策略 和 WSUS 等 解决 方案 自动 更 新 客户 端 。 

客户 端 和 NPS 策略 服务 器 之 间 的 多 个 网 络 访问 技术 都 需要 和 NAP 服务 器 进行 通信 , 以 控 
制 访问 。 例 如 ， 使 用 Windows Server 2008 DHCP 服务 和 VPN。 其 他 网 络 访问 组 件 的 访问 控制 
依赖 RADIUS， 无 需 使 用 新 版 NAP。 充 当 RADIUS 客户 端的 所 有 组 件 都 要 验证 客户 端 请 求 访 
问 的 健康 状况 ，RADIUS 响应 控制 被 授予 的 权限 。 


2. NAP 部 署 注 意 事项 


若 当 前 网 络 中 有 多 台 计 算 机 都 是 不 符合 健康 要 求 的 ， 则 以 受 限 访问 模式 启用 NAP 将 会 导 
致 大 部 分 计算 机 无 法 通信 。 
实现 NAP 的 最 好 方式 是 在 不 同 阶段 使 用 NAP 的 不 同 模式 。 首 先 在 实验 室 环境 内 进行 测 
试 ， 然 后 在 生产 环境 内 进行 真实 试验 ， 但 一 开始 要 局 限于 精通 IP 通信 的 少量 用 户 和 计算 机 ， 
例如 IT 部 门 的 人 员 。 然 后 将 实验 扩展 到 包含 各 个 部 门 和 科室 的 所 有 用 户 ， 保 证 此 项 技术 可 以 
在 所 有 环境 内 实施 。 其 中 来 自 财务 科 和 IT 部 门 的 人 员 使 用 该 技术 的 方式 会 有 所 不 同 。 实 验 完 
成 后 ， 注 销 所 有 部 门 和 科室 的 员工 ， 然 后 就 可 以 在 整个 企业 内 部 署 NAP。 
此 外 ， 还 要 测试 如 何 处 理 异 常情 况 。 例 如 在 存在 Linux 客户 端 或 Windows 2000 系统 的 网 
络 中 ， 不 可 以 拒绝 不 支持 NAP 的 计算 机 。 测 试 过 程 中 应 注意 如 下 事项 : 
可 以 根据 现 有 规则 定义 NAP 异常: 
昌 计算 机 无 法 兼容 NAP 时 ， 排 除 此 计算 机 ， 授 了 予 完全 访问 的 权限 ; 
可 以 为 来 宾 计算 机 定义 规则 ， 而 这 些 规则 基于 计算 机 是 否 是 企业 域 的 组 成 部 分 ; 
可 以 根据 特定 计算 机 的 MAC 地 址 ， 为 来 宾 计 算 机 定义 规则 ; 
对 于 内 部 计算 机 异常 来 说 ， 可 以 根据 组 成 员 关 系 定义 异常 ， 即 策略 支持 的 所 有 标准 。 
在 设计 和 部 署 NAP 系统 时 ， 应 考虑 如 下 因素 : 
确定 网 络 中 的 所 有 计算 机 和 设备 是 否 都 支持 NAP 功能 ， 以 及 是 否 确实 需要 NAP 保护 
系统 ; 
四 部 署 过 程 中 确保 重要 应 用 不 被 中 断 ， 以 及 部 署 之 后 确保 部 分 计算 机 永远 可 以 畅通 访问 ; 
@ 配置 需要 检测 的 安全 项 目 。 首 先 检查 防火 墙 状态 ， 防 病毒 更 新 状态 。 必 要 时 可 以 创建 自 
定义 系统 健康 代理 或 验证 程序 。 例 如 , 客户 端 需要 检测 是 否 安装 了 可 以 删除 机 密 信 息 的 
可 移动 媒体 。 该 检测 只 能 通过 注册 表 内 的 全 局 唯一 标识 符 (Globally Unique Identifier， 
GUI) 实现 ; 
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于 网 络 中 的 临时 用 户 包括 多 种 类 型 ,应 注意 为 不 同类 型 的 用 户 设置 不 同类 型 的 访问 。 如 果 
部 署 IPSec 强制 , 则 必须 创建 多 个 外 网 。 如 果 部 署 802.1x 强制 , 则 需要 创建 多 个 VLAN; 
确保 不 符合 健康 要 求 的 客户 端 可 以 访问 更 新 服务 器 组 。 


18.1.3 用 户 帐户 控制 


管理 员 帐户 对 本 地 系统 拥有 完全 控制 权限 。 通 常情 况 下 ， 为 了 确保 系统 安全 ， 禁 止 赋予 其 
他 帐户 过 高 的 操作 权限 。 此 时 ， 如 果 管理 员 帐 户 发 生 故障 ， 只 有 其 他 用 户 帐户 可 用 ， 则 会 导致 
要 求 管理 员 权 限 才 可 以 执行 的 操作 无 法 顺利 完成 。UAC (User Access Control， 用 户 访问 控制 ) 
可 以 保护 管理 员 会 话 连 接 ， 防 止 出 现 与 管理 员 帐 户 特权 相关 的 故障 。 

UAC 创建 了 两 个 管理 员 令 牌 ， 一 个 令 牌 具有 管理 员 特 权 ， 另 一 个 令 牌 具有 普通 凭据 。 默 
认 情 况 下 , 运行 管理 员 会 话 时 使 用 普通 的 用 户 特 权 , 只 有 需要 高 级 凭据 时 , 提示 管理 员 同 意 授 
权 使 用 提升 的 权利 来 执行 管理 功能 。 非 管理 员 也 是 如 此 , 运行 的 功能 要 求 高 级 特权 时 , 提示 用 
户 输入 管理 员 帐 户 用 户 名 和 密码 ,在 不 注销 用 户 的 情况 下 , 允许 管理 员 提 供 即时 权限 提升 (Over 
the Shoulder，OTS ) 协助 。 

内 置 管理 员 帐 户 默认 禁用 管理 批准 模式 (Admin Approval Mode，AAM)， 所 以 管理 员 无 
法 看 到 授予 管理 员 权 限 的 提示 ， 但 UAC 仍然 是 Windows Server 2008 的 一 部 分 。 例 如 ， 域 管 
理 员 (不 是 内 置 域 管理 员 ) 尝试 修改 服务 器 时 间 时 ， 显 示 如 图 18.19 所 示 “ 用 户 帐户 控制 ”对 
话 框 。 屏幕 的 其 他 部 分 显示 为 灰色 ,这 正 是 UAC 的 安全 功能 ， 防 止 恶意 软件 干扰 UAC 提示 。 


户 张 疡 皖 ES 


如 果 已 局 动 此 洽 作 ， 请 经 续 , 
J 区 城 和 语言 远 项 
Microsof Windows 
© wemeo) ET 


月 户 帐户 控制 各 助 起 止 对 区 的 计算 机 的 未 经 授权 的 更 改 。 


图 18.19 “用 户 帐户 控制 ”对 话 框 


手动 配置 UAC 的 方式 很 多 ， 使 用 组 策略 设置 可 以 实现 更 准确 的 控制 。 依 次 单 击 “ 计 算 机 
配置 ”一 “策略 ”一 “Windows 设置 ”一 “安全 设置 ”一 “本 地 策略 ”一 “安全 选项 ”就 可 
以 看 到 这 些 设置 ， 而 且 这 些 设置 和 服务 器 本 地 计算 机 策略 中 的 本 地 设置 相同 ， 此 处 不 再 袭 述 。 


18.1.4 高 级 安全 Windows 防火 墙 


Windows Server 2008 中 的 高 级 安全 Windows 防火 墙 是 一 款 基于 状态 主机 的 防火 墙 软件 ， 
可 根据 自身 配置 和 正在 运行 的 应 用 来 决定 允许 或 阻止 网 络 流量 , 从 而 保护 网 络 免 遭 恶意 用 户 和 
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程序 的 侵害 。 高 级 安全 Windows 防火 墙 的 安全 功能 包括 进出 流量 筛选 、 通 过 MMC 控制 台 管 
理 本 地 或 远程 防火 墙 、IPSec 连接 规则 等 。 


1. 双向 数据 包 拦截 


Windows Server 2008 系统 中 高 级 安全 Windows 防火 墙 会 拦截 所 有 非 请 求 进入 的 流量 ， 包 
括 不 符合 发 送 响应 的 流量 ,或 者 通过 例外 允许 的 非 请 求 流量 ,这 是 防火 墙 功能 的 重要 组 成 部 分 ， 
可 避免 计算 机 受到 非 请 求 进入 流量 中 的 病毒 和 蠕虫 的 影响 。 

Windows Server 2008 中 Windows 防火 墙 的 默认 行为 是 : 

m 除非 抵达 流量 是 响应 发 送 请 求 的 或 匹配 于 已 配置 的 例外 ， 否 则 将 阻挡 所 有 抵达 流量 ; 

除非 发 送 流量 匹配 于 已 配置 的 例外 ， 否 则 将 允许 所 有 发 送 流量 。 


2. MMC 管理 方式 


控制 台 管理 是 Windows Server 2008 系统 的 一 大 特色 ,其 中 高 级 安全 Windows 防火 墙 也 可 
以 通过 MMC 管理 ， 另 外 ， 通 过 MMC 还 可 以 管理 远程 计算 机 上 的 Windows 防火 墙 ( 目 前 的 
Windows 防火 墙 只 有 通过 远程 桌面 连接 才能 做 到 )。 

除 此 之 外 ， 管 理 员 还 可 以 通过 组 策略 和 命令 行 方式 配置 Windows 防火 墙 。 


3. 集成 防火 墙 和 IPSec 设置 


IPSec 是 一 组 用 于 为 IP 流量 提供 加 密 保护 的 Internet 标准 。 在 先前 版 的 Windows Server 系 
统 中 ， 管 理 员 需 要 分 别 配置 Windows 防火 墙 和 IPSec。 由 于 Windows 中 的 主机 防火 墙 和 IPsec 
都 可 以 允许 或 阻止 流量 进入 网 络 ， 因 此 难免 会 产生 重 登 或 彼此 矛盾 的 情况 。 新 的 Windows 防 
火 墙 在 统一 的 GUI 和 命令 行 命令 中 将 这 两 种 网 络 服务 配置 结合 在 一 起 。 集 成 防火 墙 和 IPsec 
设置 可 简化 IPsec 的 配置 。 

通常 情况 下 ， 配 置 IPsec 后 ， 只 人 允许 使 用 IPsec 加 密 的 服务 器 进行 通信 ， 保 证 安全 访问 ， 
这 也 是 NAP 的 基础 。 要 求 配置 IPsec 时 ， 只 有 计算 机 成 为 受信 任 基础 设施 之 后 才 可 以 进行 通 
信 ， 也 就 是 所 谓 的 域 隔 离 ， 意 味 着 只 有 域 成 员 可 以 参与 IPsec 通信 。 此 外 ， 也 可 以 使 用 IPsec 
配置 ， 实 现 服务 器 隔离 。 例 如 ，SQL 服务 器 上 包含 重要 的 数据 信息 ， 此 时 可 以 配置 IPsec， 只 
允许 域 成 员 或 指定 计算 机 与 该 服务 器 通信 。 


4. 配置 防火 墙 例外 的 几 种 方法 


Windows Server 2008 中 的 高 级 安全 功能 ， 人 允许 管理 员 通 过 各 种 方法 配置 防火 墙 的 例外 : 


四 根据 IP 协议 号 配置 例外 。 高 级 安全 Windows 防火 墙 允许 管理 员 根据 名 称 选 择 协议 ， 也 
可 以 就 特定 的 流量 手工 输入 IPv4 协议 值 或 IPv6 Next Header 字段 名 称 ; 

里 根据 源 和 目的 地 配置 例外 。 管 理 员 可 以 针对 进出 防火 墙 的 流量 配置 源 和 目的 地 TCP 或 
UDP 端口 ， 进 一 步 明确 允许 或 禁止 哪 种 类 型 的 TCP 和 UDP 流量 ; 

于 可 就 所 有 端口 或 多 个 端口 配置 例外 。 管 理 员 还 可 以 指定 所 有 TCP 或 UDP 端口 (用 于 所 
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有 TCP 或 所 有 UDP 流量 ) 或 列 出 用 去 号 分 隔 的 多 个 端口 列表 ; 

下 根据 特定 接口 类 型 配置 例外 。 管 理 员 可 以 指定 应 用 于 所 有 接口 或 特定 接口 类 型 的 (如 
LAN、 远 程 访问 或 无 线 接口 等 ) 例外 ; 

备 根据 类 型 和 代码 配置 ICMP 流量 例外 。Windows Server 2008 中 的 Windows 防火 墙 预 设 
了 常见 的 ICMP 和 ICMP v6 消息 例外 ， 管 理 员 可 指定 ICMP 或 IJCMP v6 类 型 和 代码 字 
段 值 来 添加 新 的 ICMP 和 ICMPv6 消息 ; 

根据 服务 配置 例外 。 管理 员 可 以 指定 例外 应 用 于 任何 进程 、 仅 应 用 于 服务 或 根据 服务 名 
称 应 用 于 特定 服务 等 。 此 外 ,管理 员 也 可 以 输入 服务 名 称 的 缩写 。 例 如 ， 如 果 管 理 员 希 
望 仅 就 计算 机 浏览 器 服务 配置 例外 ,那么 可 从 运行 在 计算 机 上 的 服务 列表 中 选择 计算 机 
浏览 器 服务 。 


18.1.5 其 他 新 增 安全 特性 


除 前 面 提 到 的 常用 安全 功能 之 外 ，Windows Server 2008 系统 还 提供 了 多 项 有 助 于 企业 提 
升 服务 器 安全 和 网 络 安全 的 增强 型 特性 。 


1. 代码 完整 性 

当 通过 登录 所 有 操作 系统 的 可 执行 文件 和 DLL 文件 运行 操作 系统 时 ， 代 码 完整 有 助 于 保 
护 操作 系统 文件 。 一 旦 将 文件 载 入 内 存 后 即 可 检验 这 些 文件 的 有 效 性 。 

2. Windows Service Hardening 


Windows Service Hardening 能 够 防止 关键 Windows 服务 被 文档 系统 、 注 册 表 或 网 络 中 的 
异常 活动 使 用 ， 从 而 确保 系统 具有 更 高 的 安全 性 。 由 于 Windows Service Hardening 默认 运行 
的 服务 很 少 ， 而 且 服 务 帐 户 拥有 的 特权 极 小 ， 因 而 限制 了 网 络 访问 。 

3. 限制 可 移动 设备 安装 

Windows Server 2008 为 企业 提供 一 种 保护 数据 的 方法 ,这 种 方法 可 以 防止 数据 被 拷贝 到 UU 
盘 等 可 移动 设备 上 。 通 过 配置 组 策略 〈Group Policy) 可 实现 对 键盘 、 鼠 标 或 者 U 盘 的 控制 。 
管理 者 在 决定 移动 设备 如 何 使 用 方面 有 着 充分 的 灵活 性 ， 包 括 : 

防止 用 户 安装 任何 设备 ; 

m 允许 用 户 仅 安装 “许可 列表 ”上 的 设备 ; 

m 防止 用 户 安装 “禁止 列表 ”上 的 设备 ; 

到 对 于 指定 设备 拒绝 用 户 读 取 或 者 写 入 。 

限制 可 移动 设备 安装 不 仅 有 助 于 降低 数据 被 盗 风险 , 而 且 还 能 进一步 降低 支持 成 本 , 因为 
这 样 可 确保 用 户 仅 安 装 调整 并 配备 了 支持 型 帮助 桌面 的 设备 。 
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18.2 升级 的 安全 特性 


Windows Server 2008 系统 除 新 增 了 多 项 安全 功能 之 外 ， 还 对 原 有 安全 特性 进行 了 升级 和 
扩展 ， 可 以 为 用 户 提供 更 高 级 、 更 全 面 的 安全 防护 。 例 如 Windows Server 2008 中 的 组 策略 就 
是 变化 较 大 的 组 件 之 一 , 不 仅 新 增 了 多 项 安全 策略 , 而 且 划 分 更 加 详细 ,满足 管理 员 安全 管理 
的 各 种 需求 。 类 似 的 升级 型 安全 特性 还 包括 事件 查看 器 、 可 靠 性 和 性 能 监视 器 等 组 件 。 


18.2.1 组 策略 管理 


Windows Server 2008 中 的 组 策略 提供 了 全 新 的 管理 方法 ， 并 且 增 加 了 多 项 实用 管理 类 别 。 
Windows Server 2008 中 组 策略 的 新 增 管理 功能 如 下 : 


四 通过 电源 选项 实现 的 成 本 节约 。 在 Windows Server 2008 中 ， 所 有 电源 选项 都 已 启用 组 
策略 , 从 而 实现 潜在 的 巨大 成 本 节约 。 通 过 组 策略 控制 电源 选项 可 能 会 使 企业 节省 大 量 
资金 。 用户 可 以 通过 单个 组 策略 设置 修改 特定 的 电源 选项 , 或 者 构建 可 使 用 组 策略 部 署 
的 自 定义 电源 计划 ; 

四 阻止 设备 安装 的 功能 。 在 Windows Server 2008 中 ， 用 户 可 以 集中 限制 在 企业 的 计算 机 
上 安装 指定 类 型 的 硬件 设备 ， 例 如 USB 设备 、CD-RW 驱动 器 、DVD-RW 驱动 器 以 及 
其 他 可 移动 介质 等 ; 

四 改进 的 安全 设置 。 在 Windows Server 2008 中 ， 将 防火 墙 和 IPSec 组 策略 设置 组 合 在 一 
起 ,使 用 户 无 需 创 建 和 维护 重复 的 功能 即 可 利用 两 种 技术 的 优势 。 这些 组 合 的 防火 墙 和 
IPSec 策略 设置 所 支持 的 一 些 方案 是 Internet 上 安全 的 服务 器 到 服务 器 的 通信 ， 这 些 方 
案 会 根据 信任 关系 或 计算 机 的 运行 状况 限制 对 域 资源 的 访问 ,并 且 保 护 到 特定 服务 器 的 
数据 通信 ， 使 之 符合 数据 隐私 和 安全 性 的 法 规 要 求 ; 

和 扩展 的 Internet Explorer 设置 管理 。 在 Windows Server 2008 中 , 用 户 可 以 打开 和 编辑 正 
组 策略 设置 ， 而 没有 根据 管理 工作 站 的 配置 无 意 中 改变 策略 设置 状态 的 风险 ; 

和 基于 位 置 的 打印 机 指定 。 在 Windows Server 2008 中 ,用户 可 以 基于 站 点 位 置 指定 打印 
机 。 当 移动 用 户 移动 到 另 一 个 位 置 时 ,组 策略 可 以 针对 新 的 位 置 更 新 其 打印 机 。 回 到 其 
主 位 置 的 移动 用 户 可 以 看 到 其 打印 机 仍 为 惯用 的 默认 打印 机 ; 

将 打印 机 了 驱动 程序 安装 委派 给 用 户 。 在 Windows Server 2008 中 ， 管理 员 可 以 使 用 组 策略 将 
安装 打印 机 驱动 程序 的 能 力 委 派 给 用 户 。 该 功能 通过 限制 管理 凭据 的 分 发 来 维护 安全 性 。 


18.2.2 服务 器 安全 配置 向 导 


默认 情况 下 ，Windows Server 2008 系统 并 非 十 分 安全 ， 许 多 安全 配置 和 功能 并 未 启用 。 
通过 服务 器 管理 器 安装 角色 、 角 色 服 务 和 功能 时 ， 将 会 自动 配置 特定 服务 器 配置 的 安全 设置 。 
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但 是 ， 不 能 使 用 服务 器 管理 器 自 定义 更 改 安全 设置 。 借 助 服务 器 安全 配置 向 导 (SCW)， 管理 
员 可 以 对 系统 默认 设置 进行 更 改 ， 例 如 为 特定 服务 器 角色 配置 防火 墙 规则 等 。 在 Windows 
Server 2008 系统 中 , 用 户 仍 可 以 使 用 SCW 创建 和 应 用 服务 器 安全 策略 , 但 是 在 大 多 数 情况 下 ， 
不 需要 使 用 SCW 即 可 在 安装 时 保护 服务 器 的 安全 。 

在 最 初 的 服务 器 角色 安装 后 , 可 以 使 用 SCW 检查 服务 器 配置 是 否 随 着 时 间 的 变化 产生 了 
漏洞 ， 并 按 要 求 对 策略 设置 进行 更 新 来 保护 服务 器 的 安全 。 用 户 可 以 在 下 列 情况 下 使 用 SCW 
创建 并 应 用 服务 器 的 安全 策略 : 


在 Windows Server 2008 计算 机 上 修改 默认 组 件 的 配置 。 在 更 改 未 通过 服务 器 管理 器 安 
装 的 组 件 配置 时 ， 需 要 使 用 SCW 更 新 服务 器 的 安全 策略 ; 

昌 为 未 通过 服务 器 管理 器 安装 的 服务 器 角色 〈 例 如 SQL Server 或 Exchange Server) 创建 
并 应 用 策略 。SCW 包含 许多 无 法 使 用 服务 器 管理 器 安装 的 服务 器 角色 和 功能 ; 

下 为 非 Microsoft 应 用 程序 定义 新 的 角色 ， 并 为 这 些 角色 创建 和 应 用 策略 。SCW 具有 一 个 
组 织 可 用 来 创建 新 角色 的 公共 架构 。 在 添加 或 删除 非 Microsoft 应 用 程序 时 运行 SCW。 


在 中 小 型 企业 网 络 中 ， 可 以 使 用 SCW 中 的 默认 设置 快速 创建 安全 策略 ， 帮 助 基于 其 角色 
保护 服务 器 的 安全 并 确保 安全 设置 为 最 新 状态 。 还 可 以 将 使 用 “安全 模板 ”管理 单元 创建 的 自 
定义 安全 模板 导入 到 SCW 策略 中 。 这 样 便 允 许 包含 除 SCW 设置 之 外 的 其 他 设置 。 然 后 使 用 
该 向 导 将 SCW 策略 应 用 到 本 地 计算 机 中 ， 也 可 以 使 用 组 策略 将 其 应 用 到 许多 计算 机 中 。 


18.2.3 ”安全 配置 和 分 析 


用 户 可 以 使 用 安全 配置 和 分 析 管理 单元 , 将 本 地 计算 机 策略 与 分 析 数 据 库 进行 比较 , 从 而 
确定 数据 库 中 所 需 设 置 是否 与 本 地 策略 之 间 存 在 差异 。 还 可 以 使 用 现 有 的 数据 库 , 或 导入 希望 
使 用 的 一 个 或 多 个 安全 模板 ,使 用 更 新 的 设置 创建 新 的 数据 库 。 分析 结果 中 会 提供 针对 当前 系 
统 设置 的 一 些 建议 ， 并 标注 当前 设置 与 建议 的 安全 级 别 不 一 致 的 地 方 ， 以 便 用 户 改进 。 


1. 安全 模板 


安全 模板 是 安全 配置 和 分 析 的 核心 ,提供 要 配置 的 设置 。 第 一 次 打开 “安全 模板 ”管理 单 
元 时 ,只 能 看 到 一 个 登录 用 户 的 文档 文件 夹 ,而 且 文件 夹 内 没有 任何 模板 , 但 可 以 在 这 里 创建 
自己 的 模板 。 

Windows Server 2008 提供 了 大 量 模 板 ， 这 些 模板 可 以 在 %windir%\security\templates 文件 
夹 内 找到 。 其 中 有 两 个 模板 可 以 帮助 定义 服务 器 的 初始 配置 、 独 立 配置 域 控制 器 。 早 期 操作 系 
统 中 添加 的 额外 模板 在 Windows Server 2008 中 也 可 以 使 用 。Windows Server 2008 默认 提供 的 
安全 模板 如 下 : 

到 SecureWS: 适用 于 具有 安全 设置 的 工作 站 和 服务 器 ; 

和 SecureDC: 适用 于 安全 环境 中 的 域 控制 器 ; 

mm HiSecWS: 适用 于 安全 配置 要 求 非常 高 的 工作 站 和 服务 器 ; 
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但 是 ， 不 能 使 用 服务 器 管理 器 自 定义 更 改 安全 设置 。 借 助 服务 器 安全 配置 向 导 (SCW)， 管理 
员 可 以 对 系统 默认 设置 进行 更 改 ， 例 如 为 特定 服务 器 角色 配置 防火 墙 规则 等 。 在 Windows 
Server 2008 系统 中 , 用 户 仍 可 以 使 用 SCW 创建 和 应 用 服务 器 安全 策略 , 但 是 在 大 多 数 情况 下 ， 
不 需要 使 用 SCW 即 可 在 安装 时 保护 服务 器 的 安全 。 

在 最 初 的 服务 器 角色 安装 后 , 可 以 使 用 SCW 检查 服务 器 配置 是 否 随 着 时 间 的 变化 产生 了 
漏洞 ， 并 按 要 求 对 策略 设置 进行 更 新 来 保护 服务 器 的 安全 。 用 户 可 以 在 下 列 情况 下 使 用 SCW 
创建 并 应 用 服务 器 的 安全 策略 : 


在 Windows Server 2008 计算 机 上 修改 默认 组 件 的 配置 。 在 更 改 未 通过 服务 器 管理 器 安 
装 的 组 件 配置 时 ， 需 要 使 用 SCW 更 新 服务 器 的 安全 策略 ; 

昌 为 未 通过 服务 器 管理 器 安装 的 服务 器 角色 〈 例 如 SQL Server 或 Exchange Server) 创建 
并 应 用 策略 。SCW 包含 许多 无 法 使 用 服务 器 管理 器 安装 的 服务 器 角色 和 功能 ; 

下 为 非 Microsoft 应 用 程序 定义 新 的 角色 ， 并 为 这 些 角色 创建 和 应 用 策略 。SCW 具有 一 个 
组 织 可 用 来 创建 新 角色 的 公共 架构 。 在 添加 或 删除 非 Microsoft 应 用 程序 时 运行 SCW。 


在 中 小 型 企业 网 络 中 ， 可 以 使 用 SCW 中 的 默认 设置 快速 创建 安全 策略 ， 帮 助 基于 其 角色 
保护 服务 器 的 安全 并 确保 安全 设置 为 最 新 状态 。 还 可 以 将 使 用 “安全 模板 ”管理 单元 创建 的 自 
定义 安全 模板 导入 到 SCW 策略 中 。 这 样 便 允 许 包含 除 SCW 设置 之 外 的 其 他 设置 。 然 后 使 用 
该 向 导 将 SCW 策略 应 用 到 本 地 计算 机 中 ， 也 可 以 使 用 组 策略 将 其 应 用 到 许多 计算 机 中 。 


18.2.3 ”安全 配置 和 分 析 


用 户 可 以 使 用 安全 配置 和 分 析 管理 单元 , 将 本 地 计算 机 策略 与 分 析 数 据 库 进行 比较 , 从 而 
确定 数据 库 中 所 需 设 置 是否 与 本 地 策略 之 间 存 在 差异 。 还 可 以 使 用 现 有 的 数据 库 , 或 导入 希望 
使 用 的 一 个 或 多 个 安全 模板 ,使 用 更 新 的 设置 创建 新 的 数据 库 。 分析 结果 中 会 提供 针对 当前 系 
统 设置 的 一 些 建议 ， 并 标注 当前 设置 与 建议 的 安全 级 别 不 一 致 的 地 方 ， 以 便 用 户 改进 。 


1. 安全 模板 


安全 模板 是 安全 配置 和 分 析 的 核心 ,提供 要 配置 的 设置 。 第 一 次 打开 “安全 模板 ”管理 单 
元 时 ,只 能 看 到 一 个 登录 用 户 的 文档 文件 夹 ,而 且 文件 夹 内 没有 任何 模板 , 但 可 以 在 这 里 创建 
自己 的 模板 。 

Windows Server 2008 提供 了 大 量 模 板 ， 这 些 模板 可 以 在 %windir%\security\templates 文件 
夹 内 找到 。 其 中 有 两 个 模板 可 以 帮助 定义 服务 器 的 初始 配置 、 独 立 配置 域 控制 器 。 早 期 操作 系 
统 中 添加 的 额外 模板 在 Windows Server 2008 中 也 可 以 使 用 。Windows Server 2008 默认 提供 的 
安全 模板 如 下 : 

到 SecureWS: 适用 于 具有 安全 设置 的 工作 站 和 服务 器 ; 

和 SecureDC: 适用 于 安全 环境 中 的 域 控制 器 ; 

mm HiSecWS: 适用 于 安全 配置 要 求 非常 高 的 工作 站 和 服务 器 ; 
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但 是 ， 不 能 使 用 服务 器 管理 器 自 定义 更 改 安全 设置 。 借 助 服务 器 安全 配置 向 导 (SCW)， 管理 
员 可 以 对 系统 默认 设置 进行 更 改 ， 例 如 为 特定 服务 器 角色 配置 防火 墙 规则 等 。 在 Windows 
Server 2008 系统 中 , 用 户 仍 可 以 使 用 SCW 创建 和 应 用 服务 器 安全 策略 , 但 是 在 大 多 数 情况 下 ， 
不 需要 使 用 SCW 即 可 在 安装 时 保护 服务 器 的 安全 。 

在 最 初 的 服务 器 角色 安装 后 , 可 以 使 用 SCW 检查 服务 器 配置 是 否 随 着 时 间 的 变化 产生 了 
漏洞 ， 并 按 要 求 对 策略 设置 进行 更 新 来 保护 服务 器 的 安全 。 用 户 可 以 在 下 列 情况 下 使 用 SCW 
创建 并 应 用 服务 器 的 安全 策略 : 


在 Windows Server 2008 计算 机 上 修改 默认 组 件 的 配置 。 在 更 改 未 通过 服务 器 管理 器 安 
装 的 组 件 配置 时 ， 需 要 使 用 SCW 更 新 服务 器 的 安全 策略 ; 

昌 为 未 通过 服务 器 管理 器 安装 的 服务 器 角色 〈 例 如 SQL Server 或 Exchange Server) 创建 
并 应 用 策略 。SCW 包含 许多 无 法 使 用 服务 器 管理 器 安装 的 服务 器 角色 和 功能 ; 

下 为 非 Microsoft 应 用 程序 定义 新 的 角色 ， 并 为 这 些 角色 创建 和 应 用 策略 。SCW 具有 一 个 
组 织 可 用 来 创建 新 角色 的 公共 架构 。 在 添加 或 删除 非 Microsoft 应 用 程序 时 运行 SCW。 


在 中 小 型 企业 网 络 中 ， 可 以 使 用 SCW 中 的 默认 设置 快速 创建 安全 策略 ， 帮 助 基于 其 角色 
保护 服务 器 的 安全 并 确保 安全 设置 为 最 新 状态 。 还 可 以 将 使 用 “安全 模板 ”管理 单元 创建 的 自 
定义 安全 模板 导入 到 SCW 策略 中 。 这 样 便 允 许 包含 除 SCW 设置 之 外 的 其 他 设置 。 然 后 使 用 
该 向 导 将 SCW 策略 应 用 到 本 地 计算 机 中 ， 也 可 以 使 用 组 策略 将 其 应 用 到 许多 计算 机 中 。 


18.2.3 ”安全 配置 和 分 析 


用 户 可 以 使 用 安全 配置 和 分 析 管理 单元 , 将 本 地 计算 机 策略 与 分 析 数 据 库 进行 比较 , 从 而 
确定 数据 库 中 所 需 设 置 是否 与 本 地 策略 之 间 存 在 差异 。 还 可 以 使 用 现 有 的 数据 库 , 或 导入 希望 
使 用 的 一 个 或 多 个 安全 模板 ,使 用 更 新 的 设置 创建 新 的 数据 库 。 分析 结果 中 会 提供 针对 当前 系 
统 设置 的 一 些 建议 ， 并 标注 当前 设置 与 建议 的 安全 级 别 不 一 致 的 地 方 ， 以 便 用 户 改进 。 


1. 安全 模板 


安全 模板 是 安全 配置 和 分 析 的 核心 ,提供 要 配置 的 设置 。 第 一 次 打开 “安全 模板 ”管理 单 
元 时 ,只 能 看 到 一 个 登录 用 户 的 文档 文件 夹 ,而 且 文件 夹 内 没有 任何 模板 , 但 可 以 在 这 里 创建 
自己 的 模板 。 

Windows Server 2008 提供 了 大 量 模 板 ， 这 些 模板 可 以 在 %windir%\security\templates 文件 
夹 内 找到 。 其 中 有 两 个 模板 可 以 帮助 定义 服务 器 的 初始 配置 、 独 立 配置 域 控制 器 。 早 期 操作 系 
统 中 添加 的 额外 模板 在 Windows Server 2008 中 也 可 以 使 用 。Windows Server 2008 默认 提供 的 
安全 模板 如 下 : 

到 SecureWS: 适用 于 具有 安全 设置 的 工作 站 和 服务 器 ; 

和 SecureDC: 适用 于 安全 环境 中 的 域 控制 器 ; 

mm HiSecWS: 适用 于 安全 配置 要 求 非常 高 的 工作 站 和 服务 器 ; 
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但 是 ， 不 能 使 用 服务 器 管理 器 自 定义 更 改 安全 设置 。 借 助 服务 器 安全 配置 向 导 (SCW)， 管理 
员 可 以 对 系统 默认 设置 进行 更 改 ， 例 如 为 特定 服务 器 角色 配置 防火 墙 规则 等 。 在 Windows 
Server 2008 系统 中 , 用 户 仍 可 以 使 用 SCW 创建 和 应 用 服务 器 安全 策略 , 但 是 在 大 多 数 情况 下 ， 
不 需要 使 用 SCW 即 可 在 安装 时 保护 服务 器 的 安全 。 

在 最 初 的 服务 器 角色 安装 后 , 可 以 使 用 SCW 检查 服务 器 配置 是 否 随 着 时 间 的 变化 产生 了 
漏洞 ， 并 按 要 求 对 策略 设置 进行 更 新 来 保护 服务 器 的 安全 。 用 户 可 以 在 下 列 情况 下 使 用 SCW 
创建 并 应 用 服务 器 的 安全 策略 : 


在 Windows Server 2008 计算 机 上 修改 默认 组 件 的 配置 。 在 更 改 未 通过 服务 器 管理 器 安 
装 的 组 件 配置 时 ， 需 要 使 用 SCW 更 新 服务 器 的 安全 策略 ; 

昌 为 未 通过 服务 器 管理 器 安装 的 服务 器 角色 〈 例 如 SQL Server 或 Exchange Server) 创建 
并 应 用 策略 。SCW 包含 许多 无 法 使 用 服务 器 管理 器 安装 的 服务 器 角色 和 功能 ; 

下 为 非 Microsoft 应 用 程序 定义 新 的 角色 ， 并 为 这 些 角色 创建 和 应 用 策略 。SCW 具有 一 个 
组 织 可 用 来 创建 新 角色 的 公共 架构 。 在 添加 或 删除 非 Microsoft 应 用 程序 时 运行 SCW。 


在 中 小 型 企业 网 络 中 ， 可 以 使 用 SCW 中 的 默认 设置 快速 创建 安全 策略 ， 帮 助 基于 其 角色 
保护 服务 器 的 安全 并 确保 安全 设置 为 最 新 状态 。 还 可 以 将 使 用 “安全 模板 ”管理 单元 创建 的 自 
定义 安全 模板 导入 到 SCW 策略 中 。 这 样 便 允 许 包含 除 SCW 设置 之 外 的 其 他 设置 。 然 后 使 用 
该 向 导 将 SCW 策略 应 用 到 本 地 计算 机 中 ， 也 可 以 使 用 组 策略 将 其 应 用 到 许多 计算 机 中 。 


18.2.3 ”安全 配置 和 分 析 


用 户 可 以 使 用 安全 配置 和 分 析 管理 单元 , 将 本 地 计算 机 策略 与 分 析 数 据 库 进行 比较 , 从 而 
确定 数据 库 中 所 需 设 置 是否 与 本 地 策略 之 间 存 在 差异 。 还 可 以 使 用 现 有 的 数据 库 , 或 导入 希望 
使 用 的 一 个 或 多 个 安全 模板 ,使 用 更 新 的 设置 创建 新 的 数据 库 。 分析 结果 中 会 提供 针对 当前 系 
统 设置 的 一 些 建议 ， 并 标注 当前 设置 与 建议 的 安全 级 别 不 一 致 的 地 方 ， 以 便 用 户 改进 。 


1. 安全 模板 


安全 模板 是 安全 配置 和 分 析 的 核心 ,提供 要 配置 的 设置 。 第 一 次 打开 “安全 模板 ”管理 单 
元 时 ,只 能 看 到 一 个 登录 用 户 的 文档 文件 夹 ,而 且 文件 夹 内 没有 任何 模板 , 但 可 以 在 这 里 创建 
自己 的 模板 。 

Windows Server 2008 提供 了 大 量 模 板 ， 这 些 模板 可 以 在 %windir%\security\templates 文件 
夹 内 找到 。 其 中 有 两 个 模板 可 以 帮助 定义 服务 器 的 初始 配置 、 独 立 配置 域 控制 器 。 早 期 操作 系 
统 中 添加 的 额外 模板 在 Windows Server 2008 中 也 可 以 使 用 。Windows Server 2008 默认 提供 的 
安全 模板 如 下 : 

到 SecureWS: 适用 于 具有 安全 设置 的 工作 站 和 服务 器 ; 

和 SecureDC: 适用 于 安全 环境 中 的 域 控制 器 ; 

mm HiSecWS: 适用 于 安全 配置 要 求 非常 高 的 工作 站 和 服务 器 ; 
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m HiSecDC: 适用 于 安全 配置 要 求 非常 高 的 工作 站 和 服务 器 。 


使 用 安全 模板 添加 搜索 安全 模板 的 额外 路 径 时 , 选择 “新 安全 模板 搜索 路 径 ”操作 。 此 外 ， 
如 果 安 装 了 解决 方案 加 速 器 ， 例 如 包含 额外 安全 模板 的 Windows Server 2008 安全 指南 ， 可 以 
添加 解决 方案 加 速 器 的 位 置 。 

打开 安全 模板 ,查看 配置 的 设置 ， 需要 修改 设置 时 ,不 是 修改 操作 系统 提供 的 模板 ,而 是 
使 用 “另存 为 ”操作 将 模板 保存 为 其 他 文件 名 。 如 图 18.20 所 示 显 示 了 安全 指南 模板 指定 的 域 


密码 设置 。 需 要 注意 的 是 ， 只 需 定义 模板 设置 部 分 ， 其 他 设置 都 保留 为 “未 定义 ”状态 即 可 。 
使 用 “新 建 模板 ”操作 可 创建 一 个 新 模板 ， 并 指定 模板 的 名 称 和 描述 信息 。 


EECZETEETEETTT 
司 间 吕 Er 
和 中 Tm | BT 
EN 

日 到 雪 


图 18.20 查看 模板 中 定义 的 设置 
2. 使 用 “安全 配置 和 分 析 ” 管 理 单元 


使 用 “安全 配置 和 分 析 ” 管 理 单元 的 第 一 步 就 是 打开 存储 配置 设置 信息 的 安全 数据 库 , 选 
择 要 使 用 的 安全 模板 。 若 不 存在 安全 模板 ， 则 创建 一 个 新 模板 。 使 用 安全 模板 载 入 安全 模板 设 
置 ， 将 模板 设置 和 计算 机 设置 进行 对 比 。“ 安 全 配置 和 分 析 ” 管 理 单元 只 能 在 安全 数据 库 中 运 
行 ， 也 只 有 从 安全 模板 将 设置 导入 安全 数据 库 的 时 候 才 会 用 到 安全 模板 。 


EF 


secedit sb ant/ sn 


1 在 “安全 配置 和 分 析 ” 控制 全 中, 右 击 “ 安 
全 配置 和 分 析 ” 节 点 ， 在 快捷 菜单 中 选择 “打开 
数据 库 ” 选 项， 显示 如 图 18.21 所 示 “ 打 开 数 据 
库 ” 对 话 框 ， 选 择 安全 数据 库 (.sdb) 文件 。 


eon 3 [ 亚 w | 
FE 


图 18.21 “打开 数据 库 ” 对 话 框 
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Windows 


四 2 单 击 “打开” 按钮 ， 显 示 如 图 18.22 所 示 “ 安 全 3 右 击 “安全 配置 和 分 析 ” 节点， 在 快捷 菜单 
配置 和 分 析 ” 对 话 框 ， 显 示 添加 的 数据 库 。 中 选择 “立即 配置 计算 机 ” 选项， 显示 如 图 18.23 
所 示 “ 配 置 系统 ”对 话 框 ， 选 择 需要 配置 的 模版 。 


图 18.22 显示 添加 的 数据 库 图 18.23 “配置 系统 ”对 话 杠 


04 单 击 “ 确 定 ” 按 钮 ， 开 始 配置 计算 机 安全 ， 主 要 ”05 右 击 “安全 配置 和 分 析 ” 节点， 在 快捷 菜单 
包括 用 户 权限 分 配 、 受 限制 的 组 、 注 册 表 和 文件 系统 等 。 中 选择 “立即 分 析 计 算 机 ”选项 , 显示 如 图 18.25 
配置 完成 后 ， 将 自动 显示 生成 的 日 志文 件 ， 如 图 18.24 ”所 示 “ 进 行 分 析 ” 对 话 框 ， 选 择 要 分 析 的 模板 。 


TT 


图 18.24 显示 日 志文 件 图 18.25 “进行 分 析 ” 对 话 框 


06 单 击 “ 确 定 ”按钮 ， 即 可 开始 分 析 系统 安全 机 制 。 完 成 后 ， 显 示 如 图 18.26 所 示 的 日 志 信息 。 

0 7 查看 安全 分 析 结果 。 分 析 完成 后 ， 展 开 “ 安 全 配置 和 分 析 ” 中 的 相关 节点 ， 即 可 查看 对 应 的 分 析 结果 。 
如 果 计算 机 设置 和 模板 设置 匹配 ， 设 置 图 标 显示 绿色 对 号 ， 如 果 计算 机 设置 和 模板 不 匹配 ， 设 置 图 标 显示 红 
色 错 号 ， 如 图 18.27 所 示 。 如 果 某 项 计算 机 设置 没有 在 模板 中 定义 ， 策 略图 标 不 显示 对 号 或 错 号 ， 数 据 库 设 
置 显示 为 “没有 定义 ”。 
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18.2.4 Windows 事件 订阅 与 收集 


Windows Server 2008 的 事件 查看 器 也 是 变化 较 大 的 系统 组 件 之 一 ， 其 中 事件 订阅 就 是 一 
项 非常 重要 的 新 增 功能 ， 允 许 管理 员 订阅 来 自 远程 Windows 系统 (Windows Vista 或 Windows 
Server 2008) 的 事件 日 志 。 通 过 它 ， 管 理 员 可 以 轻松 做 到 集中 分 析 和 监控 计算 机 的 状态 。 订 阅 
功能 依赖 于 Windows 远程 管理 (WinRM) 服务 和 Windows 事件 收集 器 (Wecsvc) 服务 ， 这 两 
项 服务 必须 在 参与 转发 和 收集 过 程 的 计算 机 上 运行 ， 目 前 只 有 运行 Windows Server 2008 和 
Windows Vista 操作 系统 的 计算 机 支持 此 功能 。 


1. 配置 源 计算 机 


所 谓 源 计算 机 就 是 指 事件 的 真正 来 源 ， 此 处 以 Windows Vista 系统 为 例 ， 需 要 在 源 计算 机 
上 开启 远程 管理 功能 ， 即 允许 收集 服务 器 通过 网 络 登录 并 管理 该 计算 机 。 需 要 注意 的 是 ， 源 计 
算 机 和 事件 收集 服务 器 必须 隶属 于 同一 域 ， 或 建立 在 信任 关系 的 不 同 域 中 。 


0 1 以 管理 员 登 录 系 统 ， 在 命令 提示 符 窗口 中 ， 输 入 如 下 命令 : 


winrm quickconfig 


按 Enter 键 执行 ， 显 示 如 图 18.28 所 示 结 果 。 提 示 目 前 该 计算 机 没有 设置 成 为 允许 远程 访 
问 ， 执 行 更 改 后 ， 即 可 接受 远程 访问 ， 问 是 否 继续 。 


0 .2 输入 Y 并 按 Enter 键 执行 ， 表 示 确 认 更 改 ， 显 示 如 图 18.29 所 示 结 果 。 
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SE ciwndoomosemazenaeee 大 可 站 | 


器 上 任意 I 的 清末 


图 18.28 是 否 允 许 远程 访问 图 18.29 启动 winRM 服务 


03 将 事件 收集 服务 器 的 计算 机 帐 ) 本 地 计 04 单 击 “ 添 加 ”按钮 ， 打 开 “ 选 择 用 户 、 计 算 机 

算 机 的 Administrators 组 中 。 依次 单 击 “ 开 始 ” 一 “ 控 ” 或 组 ”对 话 框 。 默 认 情况 下 ， 只 能 向 该 组 中 添加 用 

制 面板 ”一 “管理 工具 ”一 “计算 机 管理 ”打开 “ 计 对 象 。 单 击 “ 对 象 类 型 ”按钮 ， 打 开 “ 对 象 

算 机 管理 ”窗口 ， 展 开 “ 系 统 工具 ”一 “本 地 用 户 和 ”类 型 ”对 话 框 ， 选 中 “对 象 类 型 ”列表 中 的 “计算 
机 


了 


组 ”一 “组 ”项 目 ， 双 击 “Administrators”， 打 开 如 ” 如 图 18.31 所 示 。 
司 18.30 所 示 “Administrators 属性 ”对 话 框 。 
Admiristators 和 性 EE 
Ey 
加 An 
ET 
有 
[如 下 画 
者 
时 用 记 
确定 取消 部 助 衣 定 取消 | 
18.30 “Administrators 属性 ”对 话 框 图 18.31 “对 象 类 型 ”对 话 框 


05 单 击 “ 确 定 ”按钮 ， 返 回 “选择 用 户 、 计 算 机 06 单 击 “ 确 定 ”按钮 , 将 
或 组 ”对 话 框 ， 在 “输入 对 象 名 称 来 选择 ”文本 框 
中 ， 输 入 事件 收集 服务 器 的 主机 名 ， 如 图 18.32 所 
示 。 也 可 以 单 击 “高 级 ”按钮 ， 从 指定 位 置 的 所 有 
对 象 中 搜索 希望 添加 的 服务 器 。 


[0 至 Administrators 
18.33 所 示 。 


员 列表 中 ， 如 


区 
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Admiristators 大 性 下 加 | 
Em 
题 Mninistrators 
ET 冰 H 和 1 和 击 RS 
兵员 四 
i Ea 加 er 
a CooL ENDmain Maria 
| 这 了 外 类 型) 
| 用 户 、 计 机 或 组 R 橡 站 由 Lr 
| 
| caolyen met 查 氢 元 围 0) 
输入 对 多 人 来 半 拉克 所 ) 四 
A 次 用 户 登 和 jj 用户 99 组 
ET MD 二 和 四 
| 总 由 内 亡 盱 _ ][ 也 区 枉 四 世 MD [及 
18.32 “选择 用 户 


、 计 算 机 或 组 ”对 话 杠 


图 18.33 成功 添 加 到 成 员 列表 中 
提示 


4 重复 上 述 操 作 ， 可 以 配置 多 台 源 计 算 机 。 


2. 配置 收集 服务 器 


如 果 指 定 了 较 多 的 源 计算 机 , 则 运行 过 程 中 可 能 产生 大 量 的 日 志文 件 , 如 果 源 计算 机 


3 算 机 是 应 
用 程序 dt 则 数据 量 更 大 。 为 确保 事件 日 志 的 安全 ， 建 议 采用 单独 的 服务 器 作为 收集 服务 


0 上 打开 “管理 员 : 命令 提示 符 ” 窗 口 ， 输 入 如 下 命令 ;: wecutil qc， 按 Enter 键 执 行 ， 显 示 如 图 18.34 所 示 
结果 ， 提 示 是 否 更 改 服务 启动 模式 。 


图 18.34 是否 更 改 服务 启动 模式 
提示 。wecutil qc 命令 主要 用 于 快速 配置 事件 | 收集 服 务 可 ， 其 中 “qe” 是 “quick-config” 
\ 谤 的 缩写 。 确 认 执 行 该 命令 后 ， 主 要 完成 如 下 操作 


自如 果 已 禁用 ForwardedEvents (转发 的 事件 ) 通道 ， 则 启 
尾 Windows 事件 收集 器 服务 设置 为 延迟 启动 ( 仅 适 用 于 Windows Vista 和 更 新 

的 Windows 系统 ); 

如 果 Windows 事件 收集 器 服务 未 运行 


0 2 输入 “Y” 并 按 Enter 键 执行 ， 确 认 执行 更 改 ， 显 示 如 


用 该 通道 ; 


? 


则 启动 该 服务 。 


司 18.35 所 示 结果 ， 


事件 收集 服务 器 配置 成 功 。 
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图 18.35 ”成功 配置 事件 收集 服务 器 


提示 ”如果 要 指定 “最 小 化 带宽 ”或 “最 小 化 滞后 时 间 ” 的 事件 传递 优化 ， 则 还 必须 在 收 
小 集 器 计算 机 上 运行 winm quickeonfig 命令 。 


3. 创建 订阅 


若 要 在 事件 收集 服务 器 上 接收 来 自 其 他 计算 机 的 事件 日 志 , 必须 创建 一 个 或 者 多 个 事件 订 
阅 ， 在 源 计算 机 和 事件 收集 服务 器 上 做 好 上 述 准备 工作 之 后 ， 即 可 开始 配置 事件 订阅 。 


0 1] 在 事件 收集 服务 器 上 打开 “事件 查看 器 ”窗口 ， 并 在 导航 栏 中 选择 “订阅 ” 如 图 18.36 所 示 。 


ET TT 


ER 


图 18.36 “事件 查看 器 ”窗口 


提示 “默认 情况 下 ，Windows Vista 和 Windows Server 2008 系统 均 未 启动 事件 收集 所 需 的 
人 系统 服务 。 在 做 好 事件 收集 服务 器 的 准备 工作 之 前 ,选择 “订阅 ”项 目 时 ,会 提示 
如 图 18.37 所 示 “ 事 件 查 看 器 ”对 话 框 。 


唐 件 可 看 | 
© Wr 


图 18.37 “事件 查看 器 ”对 话 框 
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上 2 在 事件 查看 器 窗口 的 “操作 ” 栏 中 单 击 “ 创 建 订 
阅 ”链接 ， 打 开 如 图 18.38 所 示 “ 订 阅 属性 ”对 话 框 。 
在 “订阅 名 称 ”文本 框 中 ， 输 入 订阅 的 名 称 ， 在 “说 


明 ” 文 本 框 中 可 输入 相关 的 说 明 性 文字 , 以 便 区 分 ;“ 目 
标 日 志 ” 是 用 于 保存 所 收集 事件 的 目录 ， 默 认 目 录 为 
“Windows 日 志 ” 中 的 “转发 的 事件 ”。 
EEE 革 
订 周 各 称 (N): ypc 
说 朋 [D 订 硕 来 记 运 得 计 和 机 外 pe 的 事 本 志 ， 习 
到 
目标 日 本 (E} [区 E| 


图 18.38 “订阅 属性 ”对 话 杠 


0 4 单 击 “ 确 定 ” 按 钮 ， 将 所 选 计算 机 添加 到 “计算 
机 ”列表 中 ， 如 图 18.40 所 示 。 


03 在 “订阅 类 型 和 源 计算 机 ?选项 区 域 , 选择 “ 收 
集 器 已 启动 ” 单 选 按钮 ， 并 单 击 “选择 计算 机 ” 按 
钮 ,打开 “计算 机 ”对 话 框 ， 单 击 “ 添 加 域 计算 机 ” 
按钮 ,打开 如 图 18.39 所 示 “ 选 择 计算 机 ”对 话 框 。 
在 “输入 要 选择 的 对 象 名 称 ” 文 本 框 中 ， 输 入 域 中 
源 计 算 机 的 主 必 可 以 同时 输入 多 个 ， 彼 此 之 间 
以 分 号 (;) 隔 开 。 也 可 以 单 击 “ 高 级 ”按钮 ， 在 所 


名 
全 


有 目录 对 象 中 查找 。 


图 18.39 “选择 计算 机 ”对 话 框 

05 为 确保 事件 收集 服务 器 和 所 选 源 计算 机 之 间 
的 连接 正常 ， 可 以 在 “计算 机 ”列表 中 ， 选 中 源 计 
算 机 名 称 并 单 击 “ 测 试 ”按钮 , 如 果 显示 如 图 18.41 
所 示 “ 连 接 测 试 成 功 ”的 结果 ， 则 表示 连接 正常。 


图 18.40 


“计算 机 ”对 话 框 


图 18.41 “事件 查看 器 ”对 话 框 
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06 连续 单 击 “ 确 定 ”按钮 返回 至 “订阅 属性 ”对 (07 了 单 击 “ 确 定 ” 按钮 ， 返 回 “ 订 阅 属性 ”对 话 框 ， 
话 框 ， 单 击 “ 选 择 事件 ”按钮 ， 打 开 如 图 18.42 所 单 击 “ 高 级 ”按钮 ， 打 开 如 图 18.43 所 示 “ 高 级 订 
示 “ 查 询 筛选 器 ”对 话 框 。 在 “记录 时 间 ” 下 拉 列 “” 阅 设置 ”对 话 框 。 由 于 已 经 将 事件 收集 服务 器 的 计 
表 中 选择 希望 收集 的 事件 产生 的 时 间 和 日 期 。 在 “ 事 ” 算 机 帐户 添加 到 了 源 计 算 机 的 Administrators 组 中 ， 
件 级 别 ” 选 项 区 域 选择 被 收集 事件 的 级 别 , 选择 “ 按 ”所 以 选择 “计算 机 帐户 ” 单 选 按钮 即 可 。 

日 志 ” 单 选 按钮 ， 并 在 “事件 日 志 ” 下 拉 列 表 中 ， 

选择 事件 类 型 。 需 要 注意 的 是 ， 如 果 选 择 的 事件 类 

型 过 多 ， 可 能 需要 收集 大 量 的 事件 ， 占 用 大 量 空间 。 


任何 时 间 了 | 
5 关 量 口 EW) 厂 让) 
末 错误 fR) 厂 信息 人 
人 按 日 志 (0) 事件 日 志 (E); 可 加 
个 按 源 [S] 事件 素 源 (V): 加 
他 计算 机 帐 户 (M) 
包括 / 徘 给 事件 ID: 录入 ID 号 和 /或 ID 范围 ,使 用 运 号 分 隔 ， 若 要 淹 引 条 件 ， 请 先 肆 入 兢 
号 , 例如 13,5-99,-76(N) 人 特定 用 户 (人 ) 
< 所 有 事件 ID > 
COOUENWdministrator 用 户 和 密 公 (Pp)， 
人 本 六 优化 
他 正常 (N) 
个 最 小 化 再 宽 (B) 
个 最 小 化 沪 后 时 间 (UD) 
人 让 定义 
协议 (R): 了 ] WoO: la 
mw | 


图 18.42 “查询 第 选 器 ”对 话 框 图 18.43 “高 级 订阅 设置 ”对 话 框 


特定 用 户 。 若 要 指定 用 于 管理 收集 事件 的 过 程 的 帐户 ， 
则 可 以 选择 “特定 用 户 ” 单 和 按钮 ， 然 后 单 击 “用 户 。 区 
和 密码 ”按钮 ， 打 开 如 图 18.44 所 示 “订阅 产 的 任 搓 ” 
对 话 杠 ， 栓 入 帐 的 用 户 名 和 密码 了 可 RAR 

。 事件 传递 优化 。 在 这 里 用 户 可 以 根据 网 络 连 楼 状况 设 。 am。 fev 
置 适当 的 优化 措施 。 例 如 ， 如 果 不 希 望 占用 过 多 网 络 
带宽 选择“ 最 小 化 带宽 ” 单 选 接 钮 即 可 。 系 统 默 认 CE | 
为 “正常 ”状态 ， 即 不 进行 任何 优化 。 

。 协议 。 系 统 默 认 使 用 HTTP 协议 传 出 事件 ， 用 户 也 可 
以 在 “协议 ”下 拉 列 表 中 选择 “HTTPS” 协议 ， 但 是 还 必须 在 Windows 防火 墙 的 “ 例 
外 ”程序 中 添加 “443 端口"。 如 果 使 用 “正常 ”(PULL 模式 ) 传递 优化 的 订阅 ， 则 只 
区 在 源 计 算 机 的 防火 墙 上 设置 个 外 ; 如 果 使 用 “最 小 化 带宽 ”或 “最 小 化 滞后 时 间 ” 
(PUSH 模式 ) 传递 优化 的 订阅 ， 则 必须 在 源 计 算 机 和 收集 器 计算 机 上 同时 设置 例外 。 


图 18.44 “订阅 源 的 凭据 ”对 话 杠 
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06 连续 单 击 “ 确 定 ”按钮 返回 至 “订阅 属性 ”对 (07 了 单 击 “ 确 定 ” 按钮 ， 返 回 “ 订 阅 属性 ”对 话 框 ， 
话 框 ， 单 击 “ 选 择 事件 ”按钮 ， 打 开 如 图 18.42 所 单 击 “ 高 级 ”按钮 ， 打 开 如 图 18.43 所 示 “ 高 级 订 
示 “ 查 询 筛选 器 ”对 话 框 。 在 “记录 时 间 ” 下 拉 列 “” 阅 设置 ”对 话 框 。 由 于 已 经 将 事件 收集 服务 器 的 计 
表 中 选择 希望 收集 的 事件 产生 的 时 间 和 日 期 。 在 “ 事 ” 算 机 帐户 添加 到 了 源 计 算 机 的 Administrators 组 中 ， 
件 级 别 ” 选 项 区 域 选择 被 收集 事件 的 级 别 , 选择 “ 按 ”所 以 选择 “计算 机 帐户 ” 单 选 按钮 即 可 。 

日 志 ” 单 选 按钮 ， 并 在 “事件 日 志 ” 下 拉 列 表 中 ， 

选择 事件 类 型 。 需 要 注意 的 是 ， 如 果 选 择 的 事件 类 

型 过 多 ， 可 能 需要 收集 大 量 的 事件 ， 占 用 大 量 空间 。 


任何 时 间 了 | 
5 关 量 口 EW) 厂 让) 
末 错误 fR) 厂 信息 人 
人 按 日 志 (0) 事件 日 志 (E); 可 加 
个 按 源 [S] 事件 素 源 (V): 加 
他 计算 机 帐 户 (M) 
包括 / 徘 给 事件 ID: 录入 ID 号 和 /或 ID 范围 ,使 用 运 号 分 隔 ， 若 要 淹 引 条 件 ， 请 先 肆 入 兢 
号 , 例如 13,5-99,-76(N) 人 特定 用 户 (人 ) 
< 所 有 事件 ID > 
COOUENWdministrator 用 户 和 密 公 (Pp)， 
人 本 六 优化 
他 正常 (N) 
个 最 小 化 再 宽 (B) 
个 最 小 化 沪 后 时 间 (UD) 
人 让 定义 
协议 (R): 了 ] WoO: la 
mw | 


图 18.42 “查询 第 选 器 ”对 话 框 图 18.43 “高 级 订阅 设置 ”对 话 框 


特定 用 户 。 若 要 指定 用 于 管理 收集 事件 的 过 程 的 帐户 ， 
则 可 以 选择 “特定 用 户 ” 单 和 按钮 ， 然 后 单 击 “用 户 。 区 
和 密码 ”按钮 ， 打 开 如 图 18.44 所 示 “订阅 产 的 任 搓 ” 
对 话 杠 ， 栓 入 帐 的 用 户 名 和 密码 了 可 RAR 

。 事件 传递 优化 。 在 这 里 用 户 可 以 根据 网 络 连 楼 状况 设 。 am。 fev 
置 适当 的 优化 措施 。 例 如 ， 如 果 不 希 望 占用 过 多 网 络 
带宽 选择“ 最 小 化 带宽 ” 单 选 接 钮 即 可 。 系 统 默 认 CE | 
为 “正常 ”状态 ， 即 不 进行 任何 优化 。 

。 协议 。 系 统 默 认 使 用 HTTP 协议 传 出 事件 ， 用 户 也 可 
以 在 “协议 ”下 拉 列 表 中 选择 “HTTPS” 协议 ， 但 是 还 必须 在 Windows 防火 墙 的 “ 例 
外 ”程序 中 添加 “443 端口"。 如 果 使 用 “正常 ”(PULL 模式 ) 传递 优化 的 订阅 ， 则 只 
区 在 源 计 算 机 的 防火 墙 上 设置 个 外 ; 如 果 使 用 “最 小 化 带宽 ”或 “最 小 化 滞后 时 间 ” 
(PUSH 模式 ) 传递 优化 的 订阅 ， 则 必须 在 源 计 算 机 和 收集 器 计算 机 上 同时 设置 例外 。 


图 18.44 “订阅 源 的 凭据 ”对 话 杠 
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06 连续 单 击 “ 确 定 ”按钮 返回 至 “订阅 属性 ”对 (07 了 单 击 “ 确 定 ” 按钮 ， 返 回 “ 订 阅 属性 ”对 话 框 ， 
话 框 ， 单 击 “ 选 择 事件 ”按钮 ， 打 开 如 图 18.42 所 单 击 “ 高 级 ”按钮 ， 打 开 如 图 18.43 所 示 “ 高 级 订 
示 “ 查 询 筛选 器 ”对 话 框 。 在 “记录 时 间 ” 下 拉 列 “” 阅 设置 ”对 话 框 。 由 于 已 经 将 事件 收集 服务 器 的 计 
表 中 选择 希望 收集 的 事件 产生 的 时 间 和 日 期 。 在 “ 事 ” 算 机 帐户 添加 到 了 源 计 算 机 的 Administrators 组 中 ， 
件 级 别 ” 选 项 区 域 选择 被 收集 事件 的 级 别 , 选择 “ 按 ”所 以 选择 “计算 机 帐户 ” 单 选 按钮 即 可 。 

日 志 ” 单 选 按钮 ， 并 在 “事件 日 志 ” 下 拉 列 表 中 ， 

选择 事件 类 型 。 需 要 注意 的 是 ， 如 果 选 择 的 事件 类 

型 过 多 ， 可 能 需要 收集 大 量 的 事件 ， 占 用 大 量 空间 。 


任何 时 间 了 | 
5 关 量 口 EW) 厂 让) 
末 错误 fR) 厂 信息 人 
人 按 日 志 (0) 事件 日 志 (E); 可 加 
个 按 源 [S] 事件 素 源 (V): 加 
他 计算 机 帐 户 (M) 
包括 / 徘 给 事件 ID: 录入 ID 号 和 /或 ID 范围 ,使 用 运 号 分 隔 ， 若 要 淹 引 条 件 ， 请 先 肆 入 兢 
号 , 例如 13,5-99,-76(N) 人 特定 用 户 (人 ) 
< 所 有 事件 ID > 
COOUENWdministrator 用 户 和 密 公 (Pp)， 
人 本 六 优化 
他 正常 (N) 
个 最 小 化 再 宽 (B) 
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对 话 杠 ， 栓 入 帐 的 用 户 名 和 密码 了 可 RAR 

。 事件 传递 优化 。 在 这 里 用 户 可 以 根据 网 络 连 楼 状况 设 。 am。 fev 
置 适当 的 优化 措施 。 例 如 ， 如 果 不 希 望 占用 过 多 网 络 
带宽 选择“ 最 小 化 带宽 ” 单 选 接 钮 即 可 。 系 统 默 认 CE | 
为 “正常 ”状态 ， 即 不 进行 任何 优化 。 

。 协议 。 系 统 默 认 使 用 HTTP 协议 传 出 事件 ， 用 户 也 可 
以 在 “协议 ”下 拉 列 表 中 选择 “HTTPS” 协议 ， 但 是 还 必须 在 Windows 防火 墙 的 “ 例 
外 ”程序 中 添加 “443 端口"。 如 果 使 用 “正常 ”(PULL 模式 ) 传递 优化 的 订阅 ， 则 只 
区 在 源 计 算 机 的 防火 墙 上 设置 个 外 ; 如 果 使 用 “最 小 化 带宽 ”或 “最 小 化 滞后 时 间 ” 
(PUSH 模式 ) 传递 优化 的 订阅 ， 则 必须 在 源 计 算 机 和 收集 器 计算 机 上 同时 设置 例外 。 


图 18.44 “订阅 源 的 凭据 ”对 话 杠 
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06 连续 单 击 “ 确 定 ”按钮 返回 至 “订阅 属性 ”对 (07 了 单 击 “ 确 定 ” 按钮 ， 返 回 “ 订 阅 属性 ”对 话 框 ， 
话 框 ， 单 击 “ 选 择 事件 ”按钮 ， 打 开 如 图 18.42 所 单 击 “ 高 级 ”按钮 ， 打 开 如 图 18.43 所 示 “ 高 级 订 
示 “ 查 询 筛选 器 ”对 话 框 。 在 “记录 时 间 ” 下 拉 列 “” 阅 设置 ”对 话 框 。 由 于 已 经 将 事件 收集 服务 器 的 计 
表 中 选择 希望 收集 的 事件 产生 的 时 间 和 日 期 。 在 “ 事 ” 算 机 帐户 添加 到 了 源 计 算 机 的 Administrators 组 中 ， 
件 级 别 ” 选 项 区 域 选择 被 收集 事件 的 级 别 , 选择 “ 按 ”所 以 选择 “计算 机 帐户 ” 单 选 按钮 即 可 。 

日 志 ” 单 选 按钮 ， 并 在 “事件 日 志 ” 下 拉 列 表 中 ， 

选择 事件 类 型 。 需 要 注意 的 是 ， 如 果 选 择 的 事件 类 

型 过 多 ， 可 能 需要 收集 大 量 的 事件 ， 占 用 大 量 空间 。 


任何 时 间 了 | 
5 关 量 口 EW) 厂 让) 
末 错误 fR) 厂 信息 人 
人 按 日 志 (0) 事件 日 志 (E); 可 加 
个 按 源 [S] 事件 素 源 (V): 加 
他 计算 机 帐 户 (M) 
包括 / 徘 给 事件 ID: 录入 ID 号 和 /或 ID 范围 ,使 用 运 号 分 隔 ， 若 要 淹 引 条 件 ， 请 先 肆 入 兢 
号 , 例如 13,5-99,-76(N) 人 特定 用 户 (人 ) 
< 所 有 事件 ID > 
COOUENWdministrator 用 户 和 密 公 (Pp)， 
人 本 六 优化 
他 正常 (N) 
个 最 小 化 再 宽 (B) 
个 最 小 化 沪 后 时 间 (UD) 
人 让 定义 
协议 (R): 了 ] WoO: la 
mw | 


图 18.42 “查询 第 选 器 ”对 话 框 图 18.43 “高 级 订阅 设置 ”对 话 框 


特定 用 户 。 若 要 指定 用 于 管理 收集 事件 的 过 程 的 帐户 ， 
则 可 以 选择 “特定 用 户 ” 单 和 按钮 ， 然 后 单 击 “用 户 。 区 
和 密码 ”按钮 ， 打 开 如 图 18.44 所 示 “订阅 产 的 任 搓 ” 
对 话 杠 ， 栓 入 帐 的 用 户 名 和 密码 了 可 RAR 

。 事件 传递 优化 。 在 这 里 用 户 可 以 根据 网 络 连 楼 状况 设 。 am。 fev 
置 适当 的 优化 措施 。 例 如 ， 如 果 不 希 望 占用 过 多 网 络 
带宽 选择“ 最 小 化 带宽 ” 单 选 接 钮 即 可 。 系 统 默 认 CE | 
为 “正常 ”状态 ， 即 不 进行 任何 优化 。 

。 协议 。 系 统 默 认 使 用 HTTP 协议 传 出 事件 ， 用 户 也 可 
以 在 “协议 ”下 拉 列 表 中 选择 “HTTPS” 协议 ， 但 是 还 必须 在 Windows 防火 墙 的 “ 例 
外 ”程序 中 添加 “443 端口"。 如 果 使 用 “正常 ”(PULL 模式 ) 传递 优化 的 订阅 ， 则 只 
区 在 源 计 算 机 的 防火 墙 上 设置 个 外 ; 如 果 使 用 “最 小 化 带宽 ”或 “最 小 化 滞后 时 间 ” 
(PUSH 模式 ) 传递 优化 的 订阅 ， 则 必须 在 源 计 算 机 和 收集 器 计算 机 上 同时 设置 例外 。 


图 18.44 “订阅 源 的 凭据 ”对 话 杠 


514 


第 18 章 Windows Server 2008 系统 安全 新 技术 im 


08 单 击 “ 确 定 ” 按钮， 关闭“ 订阅 属性 ”对 话 框 ， 0 9 通过 事件 查看 器 订阅 的 远程 计算 机 日 志 ， 默 认 将 

返回 “事件 查看 器 ”窗口 ， 如 图 18.45 所 示 , 新 创建 ”显示 在 “Windows 日 志 ” 的 “转发 的 事件 ”项 目 中 ， 

的 事件 订阅 已 经 显示 在 窗口 中 。 如 图 18.46 所 示 。 需 要 注意 的 是 ， 由 于 网 络 传输 等 多 方 
面 问题 , 远程 计算 机 上 产生 的 相关 事件 并 不 能 立即 转发 
到 事件 收集 服务 器 上 ， 通 常会 有 一 定时 间 的 延迟 。 


和 于 
AR 
五 砚 


18.2.5 “可靠 性 和 性 能 监视 器 


可 靠 性 和 性 能 监视 器 可 以 帮助 管理 员 轻 松 监控 与 分 析 系 统 性 能 。Windows Server 2008 的 
可 靠 性 与 性 能 监视 器 是 MMC 的 一 个 插件 , 将 性 能 日 志 与 警报 、 服 务 器 性 能 顾问 以 及 系统 监控 
器 结合 在 一 起 ， 为 定制 数据 收集 及 时 间 跟 踪 服务 提供 了 一 个 易于 使 用 的 图 形 界面 ， 如 图 18.47 
所 示 。 它 还 包含 一 个 可 靠 性 监视 器 , 这 是 另 一 个 跟踪 系统 修改 并 将 这 些 修改 与 系统 可 靠 性 的 修 
改进 行 对 比 的 MMC 插件 。 


0 天 


1 


1 于 RK 


于 0 


=- 
EJ 
由 

a 


上 
| 
a 


b> 
[中 


图 18.47 “可 靠 性 和 性 能 监视 器 ”窗口 


Windows Server 2008 中 的 可 靠 性 与 性 能 监视 器 有 如 下 新 特性 。 
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1. 数据 收集 器 


数据 收集 器 是 Windows 可 靠 性 和 性 能 监视 器 中 一 个 重要 的 新 特征 , 它 将 数据 收集 分 成 组 
形成 适用 于 不 同性 能 与 监控 条 件 下 的 可 重复 使 用 的 构件 。 对 于 管理 多 个 服务 器 的 管理 员 来 说 ， 
这 种 功能 明确 了 需要 监控 的 数据 , 以 及 使 用 在 多 个 服务 器 上 的 数据 ,从 而 为 管理 员 节 省 大 量 时 
间 。 当 一 组 数据 作为 数据 收集 器 被 储存 时 , 像 调整 时 间 这 样 的 操作 就 能 够 通过 一 个 属性 更 改 而 
应 用 于 整个 组 ，Windows 可 靠 性 和 性 能 监视 器 还 包含 一 个 默认 的 数据 收集 器 模板 ， 管 理 员 使 
用 它 能 够 立刻 开始 为 某 个 服务 器 角色 或 监控 情景 进行 性 能 数据 的 收集 。 


2. 创建 日 志 的 向 导 与 模板 


现在 , 通过 一 个 简化 了 的 向 导 界 面 就 可 以 添加 计数 器 到 日 志文 件 ， 并 规定 开始 、 停 止 以 及 
持续 的 时 间 。 将 这 个 配置 保存 为 模板 可 以 使 系统 管理 员 在 后 面 的 计算 机 上 搜集 同样 的 日 志 , 而 
不 必 在 每 个 计算 机 上 都 进行 配置 。 性 能 日 志 与 提醒 功能 也 被 集成 到 Windows 可 靠 性 和 性 能 监 
视 器 中 ， 与 数据 收集 器 共同 使 用 。 


3. 资源 查看 


新 的 资源 查看 界面 现在 成 为 了 Windows 可 靠 性 和 性 能 监视 器 的 主页 。 这 个 界面 提供 了 实 
时 的 对 CPU、 磁 盘 、 网 络 和 内 存 占用 情况 的 查看 。 通 过 将 这 些 受到 监控 的 内 容 进 行 扩 展 ， 可 
使 系统 管理 员 确认 哪些 流程 在 使 用 哪些 资源 。 在 Windows 之 前 的 版 本 中 ， 这 一 实时 的 根据 流 
程 确定 的 数据 只 在 有 限 的 任务 管理 器 的 表格 中 存在 。 


4. 可 靠 性 监视 器 

可 靠 性 监视 器 通过 计算 系统 的 可 靠 性 参数 来 反映 是 否 有 不 可 预见 的 问题 降低 了 系统 的 可 
靠 性 。 按 时 间 计算 的 可 靠 性 参数 图 表明 了 问题 开始 出 现 的 日 期 。 系 统 稳定 性 报告 提供 了 详细 的 
信息 ， 用 以 帮助 从 根源 上 解决 问题 。 通 过 查看 对 系统 的 更 改 ， 能 够 很 快 找到 解决 问题 的 策略 ， 
节省 时 间 与 资源 。 

5. 为 数据 搜集 进行 属性 配置 


无 论 是 一 次 性 使 用 创建 数据 收集 器 ， 还 是 持续 地 将 行为 记录 到 日 志 ， 用 于 创建 、 修 改 和 安 
排 日 程 的 界面 都 是 相同 的 。 如 果 数 据 收集 器 被 证 明 对 未 来 的 性 能 监控 有 用 ，, 那么 它 就 无 需 再 次 
创建 ， 可 直接 把 它 作为 模板 重新 配置 或 保存 。 这 种 简化 的 流程 将 节省 管理 员 的 时 间 ， 提 供 更 有 
效 的 性 能 监控 信息 。 


6. 诊断 报告 


熟悉 Windows Server 2003 中 的 服务 器 性 能 顾问 的 用 户 会 在 Windows Server 2008 的 
Windows 可 靠 性 和 性 能 监视 器 中 找到 相同 类 型 的 诊断 报告 。 生 成 报告 所 需 的 时 间 也 得 到 了 改 
进 。 报 告 可 以 根据 通过 使 用 任何 数据 收集 器 收集 的 数据 来 创建 , 使 系统 管理 员 能 够 轻松 地 复制 
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告 ， 并 评估 对 服务 器 的 修改 是 如 何 影响 性 能 的 ， 以 及 查看 报告 推荐 的 解决 方案 。 
18.3 ”应 用 服务 器 角色 安全 新 特性 


Windows Server 2008 强大 的 网 络 服务 功能 也 是 吸引 众多 用 户 的 主要 方面 ， 在 对 原 有 网 络 服务 
进行 升级 和 改进 的 基础 上 ， 还 重新 集成 了 更 多 的 网 络 应 用 ， 充 分 满足 各 种 规模 网 络 用 户 的 需求 。 


18.3.1 活动 目录 域 服务 


通过 实践 不 难 发 现 , Windows Server 2008 系统 中 的 Active Direcotory 服务 变化 的 不 仅 是 名 
称 ， 更 重要 的 是 功能 ， 尤 其 是 安全 性 和 可 靠 性 的 提升 。 在 活动 目录 方面 ，Windows Server 2008 
引入 了 全 新 的 只 读 域 控制 器 技术 、 可 重启 的 AD DS 技术 、 目 录 服 务 审计 等 一 系列 新 功能 。 


1.AD FS 


Active Directory Federation Services (AD FS) 是 Windows Server 2008 中 的 一 种 服务 器 角 
色 ， 可 提供 一 种 有 较 高 可 扩展 性 的 安全 身份 访问 解决 方案 ， 支 持 在 不 同 平台 上 工作 。AD FS 
使 网 络 内 外 基于 浏览 器 的 客户 端 能 访问 受 保护 的 因特网 应 用 ,即便 用 户 帐 户 和 应 用 位 于 不 同 网 
络 和 企业 中 也 能 保证 其 正常 工作 。 

在 一 般 情 况 下 ， 应 用 位 于 某 个 网 络 ， 而 用 户 帐户 位 于 另 一 个 网 络 ， 这 时 用 户 要 想 访问 应 用 
的 话 ， 就 必须 输入 辅助 凭据 。 但 是 ， 如 果 我 们 采用 了 AD FS， 就 不 再 需要 辅助 凭据 了 。 我 们 
可 利用 受信 任 的 关系 来 向 受信 任 合作 伙伴 呈现 用 户 数 字 身 份 和 访问 权限 。 在 联合 环境 中 , 每 个 
企业 不 仅 能 够 一 如 既往 地 管理 其 自己 的 身份 ， 而 且 还 能 安全 地 规划 和 接受 其 他 企业 的 身份 。 

AD FS 包括 一 种 策略 导入 /导出 特性 ， 简 化 不 同 联合 合作 伙伴 间 设 置信 任 关 系 的 工作 。 对 
于 来 自 联合 合作 伙伴 的 用 户 , 成 员 供应 商 可 支持 对 Windows SharePoint Services(WSS ) 与 RMS 
基于 角色 的 授权 。 管 理 员 能 通过 组 策略 控制 联合 服务 部 署 。 

此 外 ， 拥 有 和 管理 用 户 帐户 的 企业 可 采用 AD FS 联合 服务 器 来 验证 本 地 用 户 并 创建 安全 
令 牌 。 企 业 资源 的 联合 服务 器 可 用 上 述 安全 令 牌 来 作出 授权 决策 。 


2. 可 以 重启 的 AD DS 


在 Windows Server 2008 中 ，Active Directory Domain Services (AD DS) 是 基于 服务 的 ， 
也 就 是 说 , 我 们 可 通过 Microsoft Management Console (MMC ) 管理 单元 /命令 行 关闭 或 启动 它 。 
基于 服务 的 AD DS 简化 了 管理 工作 ， 缩 短 了 执行 脱 机 工作 所 需 的 时 间 ， 如 脱 机 碎片 整理 或 权 
限 恢复 等 。 此 外 ， 这 也 有 助 于 提高 运行 于 域 控制 器 上 的 其 他 服务 的 可 用 性 ， 条 件 是 在 执行 AD 
DS 维护 的 同时 ， 应 保持 这 些 服务 始终 处 于 活动 状态 。 任 何 绑 定 于 已 经 停机 的 域 控制 器 上 的 客 
户 端 都 能 通过 发 现 转移 到 其 他 域 控制 器 上 工作 。 
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3. RODC 


只 读 域 控制 器 (RODC) 是 Windows Server 2008 操作 系统 中 的 一 种 新 型 域 控制 器 ， 用 于 
部 署 在 需要 本 地 验证 服务 而 物理 安全 级 又 难以 保证 的 分 支 机 构 中 。 除 了 帐户 密码 之 外 , RODC 
还 包括 可 写 入 域 控 制 器 中 的 全 部 Microsoft Active Directory Domain Services (AD DS) 对 象 和 
属性 。 但 是 ， 客 户 端 不 能 直接 写 入 修改 RODC。 这 就 提高 了 安全 性 ， 因 为 即便 物理 安全 被 破 
坏 ， 有 人 恶意 存 取 RODC， 域 数据 也 不 会 在 RODC 上 更 新 。 

RODC 还 支持 管理 员 角 色 分 隔 ， 这 样 ， 包 括 分 支 机 构 本 地 用 户 在 内 的 任何 域 用 户 都 可 获 
得 授权 成 为 RODC 的 本 地 管理 员 ， 同 时 又 不 会 给 予 用 户 更 多 域 本 身 或 其 他 域 控制 器 的 管理 权 
限 。 本 地 员工 只 能 执行 更 新 驱动 程序 等 例 行 管理 任务 ， 而 不 会 影响 安全 性 。 


18.3.2 AD DS 审核 


在 Windows Server 2008 中 ， 管 理 员 审 核 活动 目录 对 象 有 多 种 选择 。 新 的 审核 策略 子 目录 
可 审核 活动 目录 对 象 的 变化 ,包括 创建 、 修 改 、 移 动 和 删除 等 ， 并 能 将 发 生变 化 的 新 旧 属 性 值 
计 入 日 志 。 需要 注意 的 是 , 这 种 审核 功能 仅 适用 于 目录 服务 对 象 访问 ,并 不 适用 于 文件 系统 对 
象 以 及 注册 表 对 象 。 

1. 审核 AD DS 访问 


在 Windows 2000 Server 和 Windows Server 2003 中 ,只 有 一 个 审核 策略 ， 即 审核 目录 服务 访问 ， 
它 控制 着 目录 服务 审核 事件 是 否 启用 。 在 Windows Server 2008 中 ， 这 个 策略 则 分 为 4 个 子 目 录 : 


@ 目录 服务 访问 (Directory Service Access) ; 

@ 目录 服务 变化 (Directory Service Changes) ; 

@ 目录 服务 复制 (Directory Service Replication ) ; 

四 详细 的 目录 服务 复制 (Detailed Directory Service Replication) 。 


全 局 审核 策略 Audit Directory Service Access 控制 着 目录 服务 审核 是 否 启用 。 这 一 安全 设 
置 决定 了 目录 中 对 象 执行 特定 操作 时 事件 是 否 记 入 安全 日 志 。 管 理 员 可 通过 修改 对 象 的 系统 访 
问 控制 列表 (SACL ) 来 控制 审核 哪些 操作 。AD DS 对 象 上 的 SACL 可 在 对 象 属性 对 话 框 中 的 
安全 选项 卡 中 设置 。 在 Windows Server 2008 中 ， 该 策略 默认 是 启用 的 。 

如 果 通 过 修改 默认 的 域 控制 器 对 策略 制定 该 策略 设置 ， 则 管理 员 可 以 指定 审核 是 成 功 还 是 失 
败 , 或 者 不 进行 审核 。 用 户 成 功 访问 指定 了 SACL 的 AD DS 对 象 后 , 成 功 审核 会 生成 相应 审核 项 。 
如 果 用 户 失败 访问 指定 了 SACL 的 AD DS 对 象 后 , 则 审核 失败 也 会 生成 相应 审核 项 。 在 Windows 
2000 Server 和 Windows Server 2003 中 ， 审 核 事件 出 现在 安全 日 志 中 ，ID 号 为 566。 在 Windows 
Server 2008 中 ， 审 核子 目录 “目录 服务 访问 ” 仍 生成 同样 的 事件 ， 但 事件 ID 号 改 为 4662。 


2. 审核 AD DS 变动 


新 的 审核 子 目 录 Directory Service Change 支持 审核 AD DS 中 对 象 的 变动 情况 。 可 审核 
的 变动 类 型 包括 对 象 的 创建 、 修 改 、 移 动 和 反 删 除 操作 等 。 这 些 操作 生成 的 事件 出 现在 安全 日 
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志 中 ， 并 包括 先前 的 和 当前 的 属性 值 。 
这 种 新 策略 子 目 录 为 AD DS 审核 添加 了 以 下 功能 : 


里 成 功 修改 对 象 的 属性 值 后 ，AD DS 会 将 先前 的 和 当前 的 属性 值 记 入 日 志 。 如 果 属 性 什 
多 于 一 个 ， 那 么 只 有 修改 操作 造成 变化 的 值 才 记 入 日 志 ; 

里 如 果 创 建新 的 对 象 ， 那 么 创建 时 会 给 对 象 属性 赋值 ， 并 记 入 上 日志。 如 果 在 创建 过 程 中 添 
加 属性 ， 那 么 这 些 新 的 属性 值 会 记 入 日 志 。 在 大 多 数 情况 下 ，AD DS 会 给 属性 分 配 默 
认 值 (如 SAMAccountName)。 这 种 系统 属性 值 不 记 入 日 志 ; 

里 如 果 对 象 在 域 中 移动 ， 那 么 此 前 的 位 置 和 新 的 位 置 会 (以 区 别名 的 形式 ) 记 入 日 志 。 如 
果 对 象 移动 到 不 同 的 域 ， 那 么 会 在 目标 域 的 域 控制 器 上 生成 创建 事件 ; 

如 果 对 对 象 进行 反 人 删除 操作 ,那么 对 象 移动 的 位 置 会 记 入 日 志 。 此 外 ,如果 在 反 删 除 操 
作 中 添加 、 修 改 或 删除 属性 ， 那 么 这 些 属性 值 也 会 记 入 日 志 。 


如 果 对 象 被 删除 ,不 会 生成 改变 审核 事件 。 但 是 ， 如 果 启 用 了 目录 服务 访问 子 目录 , 会 生 
成 审核 事件 。 启 用 “目录 服务 更 改 ”审核 策略 后 ， 如 果 管 理 员 设置 进行 审核 的 对 象 发 生变 动 ， 
那么 AD DS 会 将 事件 记 入 安全 事件 日 志 中 。 


3. 全 局 审核 策略 


启用 全 局 审核 策略 后 , 可 支持 所 有 目录 服务 策略 子 目录 。 全 局 审核 策略 可 在 默认 域 控制 器 
组 策略 中 设置 (在 “安全 配置 ”一 “本 地 策略 ”一 “审核 策略 ”分 支 下 )。 

在 Windows Server 2008 中 , 全 局 审核 策略 是 默认 启用 的 。 因此， 目录 服务 变化 (Directory 
Service Changes) 子 目 录 也 是 默认 启用 的 。 这 个 子 目 录 仅 对 审核 成 功 事件 设置 。 管 理 员 可 选择 
禁用 的 目录 服务 访问 (Directory Service Access)。 

在 Windows 2000 Server 和 Windows Server 2003 中 ,“ 审 核 目录 服务 访问 ”审核 策略 是 活 
动 目录 可 用 的 唯一 审核 控件 。 该 控件 生成 的 事件 不 会 显示 任何 修改 的 新 旧 值 。 利 用 新 的 审核 策 
略 子 目 录 服 务 变化 ， 将 成 功 的 目录 修改 记 入 到 日 志 的 同时 ， 也 会 记 入 以 前 的 与 当前 的 属性 值 。 
由 于 现在 我 们 可 以 记录 对 象 属性 的 变化 , 因此 改善 了 事件 日 志 的 用 途 , 可 用 它 作为 跟踪 对 象 使 
用 过 程 中 变化 情况 的 一 种 机 制 ， 并 能 根据 需要 将 对 象 属性 变 为 以 前 的 值 。 


18.3.3 Active Directory 权限 管理 服务 


Active Directory 权限 管理 服务 (Active Directory Rights Management Services，AD RMS) 
是 Windows Server 2008 的 新 增 功 能 之 一 。 这 是 一 种 信息 保护 技术 ， 与 启用 RMS 的 应 用 程序 
配合 使 用 ， 可 帮助 保护 数字 信息 避免 未 经 授权 的 使 用 。 


1.AD RMS 的 新 特性 
AD RMS 与 RMS 相 比 具有 如 下 新 特性 : 
管理 界面 更 加 友好 。 在 RMS 1.0 中 唯一 的 管理 界面 就 是 Web, 而 AD RMS 则 改 用 MMC 
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志 中 ， 并 包括 先前 的 和 当前 的 属性 值 。 
这 种 新 策略 子 目 录 为 AD DS 审核 添加 了 以 下 功能 : 


里 成 功 修改 对 象 的 属性 值 后 ，AD DS 会 将 先前 的 和 当前 的 属性 值 记 入 日 志 。 如 果 属 性 什 
多 于 一 个 ， 那 么 只 有 修改 操作 造成 变化 的 值 才 记 入 日 志 ; 

里 如 果 创 建新 的 对 象 ， 那 么 创建 时 会 给 对 象 属性 赋值 ， 并 记 入 上 日志。 如 果 在 创建 过 程 中 添 
加 属性 ， 那 么 这 些 新 的 属性 值 会 记 入 日 志 。 在 大 多 数 情况 下 ，AD DS 会 给 属性 分 配 默 
认 值 (如 SAMAccountName)。 这 种 系统 属性 值 不 记 入 日 志 ; 

里 如 果 对 象 在 域 中 移动 ， 那 么 此 前 的 位 置 和 新 的 位 置 会 (以 区 别名 的 形式 ) 记 入 日 志 。 如 
果 对 象 移动 到 不 同 的 域 ， 那 么 会 在 目标 域 的 域 控制 器 上 生成 创建 事件 ; 

如 果 对 对 象 进行 反 人 删除 操作 ,那么 对 象 移动 的 位 置 会 记 入 日 志 。 此 外 ,如果 在 反 删 除 操 
作 中 添加 、 修 改 或 删除 属性 ， 那 么 这 些 属性 值 也 会 记 入 日 志 。 


如 果 对 象 被 删除 ,不 会 生成 改变 审核 事件 。 但 是 ， 如 果 启 用 了 目录 服务 访问 子 目录 , 会 生 
成 审核 事件 。 启 用 “目录 服务 更 改 ”审核 策略 后 ， 如 果 管 理 员 设置 进行 审核 的 对 象 发 生变 动 ， 
那么 AD DS 会 将 事件 记 入 安全 事件 日 志 中 。 


3. 全 局 审核 策略 


启用 全 局 审核 策略 后 , 可 支持 所 有 目录 服务 策略 子 目录 。 全 局 审核 策略 可 在 默认 域 控制 器 
组 策略 中 设置 (在 “安全 配置 ”一 “本 地 策略 ”一 “审核 策略 ”分 支 下 )。 

在 Windows Server 2008 中 , 全 局 审核 策略 是 默认 启用 的 。 因此， 目录 服务 变化 (Directory 
Service Changes) 子 目 录 也 是 默认 启用 的 。 这 个 子 目 录 仅 对 审核 成 功 事件 设置 。 管 理 员 可 选择 
禁用 的 目录 服务 访问 (Directory Service Access)。 

在 Windows 2000 Server 和 Windows Server 2003 中 ,“ 审 核 目录 服务 访问 ”审核 策略 是 活 
动 目录 可 用 的 唯一 审核 控件 。 该 控件 生成 的 事件 不 会 显示 任何 修改 的 新 旧 值 。 利 用 新 的 审核 策 
略 子 目 录 服 务 变化 ， 将 成 功 的 目录 修改 记 入 到 日 志 的 同时 ， 也 会 记 入 以 前 的 与 当前 的 属性 值 。 
由 于 现在 我 们 可 以 记录 对 象 属性 的 变化 , 因此 改善 了 事件 日 志 的 用 途 , 可 用 它 作为 跟踪 对 象 使 
用 过 程 中 变化 情况 的 一 种 机 制 ， 并 能 根据 需要 将 对 象 属性 变 为 以 前 的 值 。 


18.3.3 Active Directory 权限 管理 服务 


Active Directory 权限 管理 服务 (Active Directory Rights Management Services，AD RMS) 
是 Windows Server 2008 的 新 增 功 能 之 一 。 这 是 一 种 信息 保护 技术 ， 与 启用 RMS 的 应 用 程序 
配合 使 用 ， 可 帮助 保护 数字 信息 避免 未 经 授权 的 使 用 。 


1.AD RMS 的 新 特性 
AD RMS 与 RMS 相 比 具有 如 下 新 特性 : 
管理 界面 更 加 友好 。 在 RMS 1.0 中 唯一 的 管理 界面 就 是 Web, 而 AD RMS 则 改 用 MMC 
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嵌入 式 管理 单元 ， 操 作 更 加 方便 ; 

自动 启用 服务 器 授权 和 凭证。 在 AD RMS 中 ， 根 群集 的 服务 器 授权 凭证 (Server Licensor 
Certificate，SLC) 可 以 自动 启用 ， 无 需 再 进行 手动 操作 ; 

昌 与 Active Directory 联合 身份 验证 服务 (ADFS) 配 合 使 用 ,AD FS 是 Windows Server 2008 
的 一 项 新 功能 ， 可 以 提供 简单 、 安 全 的 身份 验证 。AD RMS 与 AD FS 配合 使 用 ， 可 以 
允许 企业 之 间 共 同 使 用 一 方 的 AD RMS 群集 ,并 且 通 过 AD FS (使 用 https 协议 ) 对 自 
己 域 中 的 用 户 帐户 进行 识别 和 验证 。 


2. AD RMS 的 相关 组 件 


AD RMS 仍然 基于 服务 器 /客户 机 的 结构 ， 其 主要 组 件 包括 支持 AD RMS 的 应 用 程序 、AD 
RMS 客户 端 和 AD RMS 服务 器 端 3 项 ， 三 者 缺 一 不 可 。 只 有 支持 AD RMS 的 应 用 程序 才能 生 
成 被 保护 的 文档 ; AD RMS 客户 端 安装 在 客户 机 上 , 与 支持 AD RMS 的 应 用 程序 进行 交互 ; AD 
RMS 服务 器 负责 为 信任 实体 颁发 证 书 、 授 权 服 务 器 ， 为 AD RMS 保护 的 文档 进行 使 用 授权 。 

使 用 权限 管理 帐户 证 书 可 以 将 用 户 帐户 和 具体 的 一 台 设 备 关 联 起 来 , 也 就 是 说 每 个 不 同 的 
帐户 在 同一 台 计 算 机 上 存在 唯一 的 权限 管理 证 书 ,或 同一 帐户 在 不 同 的 计算 机 上 的 权限 管理 证 
书 也 不 相同 。 虽然 不 同 用 户 的 权限 管理 帐户 证 书 不 同 , 但 是 在 权限 管理 帐户 证 书 中 所 包含 的 密 
钥 却 是 相同 的 。 该 权限 管理 帐户 证 书 是 由 企业 中 的 第 一 台 AD RMS 服务 器 所 颁发 的 ， 即 在 任 
何 计算 机 上 的 用 户 的 密 钥 都 是 相同 的 ， 当 用 户 向 AD RMS 许可 服务 器 请 求 许可 时 ， 就 需要 使 
用 权限 管理 帐户 证 书 。 

RAC 的 生成 过 程 如 下 : 


1 当 用 户 第 一 次 使 用 由 AD RMS 加 密 的 文档 时 ， 就 需要 向 AD RMS 服务 器 发 送 请 求 ， 首 先 用 户 会 以 域 用 
户 的 身份 向 AD RMS 证 书 服务 器 发 送 请 求 ， 来 获取 权限 管理 帐户 证 书 。 

0 2 服务 器 会 在 服务 器 数据 库 中 对 所 存 的 信息 进行 查询 ， 如 果 已 经 存在 密 钥 对 ， 就 会 应 用 已 有 的 密 钥 ， 如 果 
没有 就 会 为 该 用 户 生成 一 个 密 钥 对 。 

0 3 服务 器 会 将 该 用 户 的 密 钥 对 中 的 私 钥 用 该 证 书 服务 器 的 私 钥 进行 加 密 。 

0 4 将 用 户 密 钥 对 中 的 私 钥 加 密 后 ， 服 务 器 会 将 用 户 密 钥 对 中 的 公 钥 和 加 密 后 的 私 钥 放 到 权限 管理 帐户 证 书 中 。 

(05 权限 管理 帐户 证 书 会 被 AD RMS 服务 器 用 私 钥 进行 数字 签署 ， 这 样 就 能 确定 该 权限 管理 帐户 证 书 是 
AD RMS 证 书 服务 器 所 发 放 的 ， 且 没有 被 自 改 。 

06 AD RMS 服务 器 会 将 权限 管理 帐户 证 书 发 送 给 用 户 。 

0 7 服务 器 将 用 户 的 密 钥 对 存储 到 AD RMS 的 数据 库 中 ， 该 权限 管理 帐户 证 书 就 是 以 后 该 用 户 申请 各 种 使 
用 许可 的 证 书 。 


3.AD RMS 的 实现 原理 


(1 ) 服务 的 发 现 


服务 的 发 现实 际 上 就 是 RMS 客户 端 发 现 AD RMS 服务 器 的 一 个 过 程 , 该 过 程 可 以 通过 两 
种 方法 来 实现 ， 一 种 是 通过 活动 目录 中 的 服务 连接 点 〈SCP)， 通 过 它 就 可 以 找到 我 们 企业 中 
的 证 书 服务 器 的 位 置 。 第 二 种 方法 就 是 通过 注册 表 , 通过 注册 表 可 以 使 客户 端 上 的 应 用 程序 找 
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到 AD RMS 服务 器 。 

找到 AD RMS 服务 器 可 以 激活 RMS 客户 机 ， 因 为 如 果 要 使 用 该 RMS 客户 机 必须 在 第 一 
次 使 用 时 到 AD RMS 服务 器 上 去 激活 该 RMS 客户 机 。 这 样 就 可 以 从 AD RMS 服务 器 上 获取 
权限 管理 帐户 证 书 等 信息 。 


(2 ) 文档 的 在 线 发 布 过 程 
由 RMS 客户 端 在 线 向 授权 服务 器 发 送 请 求 。 具 体 的 发 布 过 程 如 下 : 


0 1 由 密码 箱 生成 对 称 密 钥 作为 内 容 密 钥 。 

0 2 内 容 密 钥 会 被 授权 服务 器 的 公 钥 加 密 ， 这 样 做 的 目的 就 是 通过 网 络 将 它 发 送 给 授权 服务 器 ， 然 后 授权 服 
务 器 能 够 用 它 自己 的 私 钥 将 这 个 内 容 解 出 来 ， 而 在 传送 的 过 程 中 不 会 被 别人 截获 后 获取 内 容 密 钥 。 

0 3 加 密 的 内 容 密 钥 和 权限 被 发 送 给 请 求 发 布 许可 的 授权 服务 器 。 

0 4 授权 服务 器 使 用 它 的 私 钥 解 开 加 密 的 内 容 密 钥 。 

(05 授权 服务 器 使 用 它 的 公 钥 加 密 内 容 密 钥 和 使 用 权限 。 

0 加 密 后 的 密 钥 和 使 用 权限 被 添加 到 发 布 许可 。 

0 7 授权 服务 器 使 用 私 钥 签署 发 布 许可 。 

0 8 发 布 许可 返回 给 申请 的 客户 端 。 

09 支持 AD RMS 的 应 用 程序 将 发 布 许可 合并 到 受 保护 的 文档 中 。 


(3 ) 文档 的 离线 发 布 过 程 


如 果 用 户 所 使 用 的 是 笔记 本 等 移动 办 公设 备 ， 有 可 能 在 自己 的 家 中 不 能 够 连接 到 公司 的 
AD RMS 服务 器 , 这 时 用 户 只 要 申请 一 个 客户 端 许可 证 书 (CLC), 就 可 以 访问 公司 的 AD RMS 
服务 器 。 上 有 具体 的 发 布 过 程 如 下 : 


0 十 由 密码 箱 生成 对 称 密 钥 作为 内 容 密 钥 。 

0 2 从 容 户 端 许可 证 书 中 取出 授权 服务 器 的 公 钥 。 

03 窜 户 端 使 用 服务 器 的 公 钥 加 密 内 容 密 钥 ， 用 服务 器 的 公 钥 加 密 的 内 容 密 钥 只 能 由 服务 器 的 私 钥 解 密 。 

04 客户 端 使 用 客户 端 许可 证 书 的 公 钥 对 内 容 密 钥 再 进行 一 次 加 密 ， 会 再 次 获得 一 个 加 密 后 的 对 称 密 钥 。 需 
要 注意 的 是 ， 离 线 发 布 和 在 线 发 布 所 不 同 的 是 ， 在 离线 发 布 过 程 中 ， 对 内 容 进行 了 两 次 加 密 。 

05 两 个 加 密 后 的 对 称 密 钥 同时 被 放 到 发 布 许可 中 。 

06 客户 端 使 用 权限 管理 帐户 证 书 中 的 私 钥 解 密 客户 端 许可 证 书 中 的 私 钥 。 

(07 客户 端 使 用 CLC 的 私 钥 签署 发 布 许可 。 

08 支持 AD RMS 的 应 用 程序 将 发 布 许可 合并 到 受 保护 的 文档 中 。 


(4) 受 保护 文档 的 使 用 过 程 
使 用 受 保护 文档 的 过 程 如 下 : 


01 客户 端 将 权限 管理 帐户 证 书 和 文档 的 发 布 许可 发 送 到 颁发 发 布 许可 的 授权 服务 器 。 


0 2 授权 服务 器 使 用 它 的 私 钥 解 出 发 布 许可 中 的 内 容 密 铀 。 
3 授权 服务 器 使 用 权限 管理 帐户 证 书 中 用 户 的 公 钥 加 密 内 容 密 钥 。 
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04 把 加 密 的 内 容 密 钥 和 用 户 的 使 用 权限 添加 到 使 用 许可 。 

(05 授权 服务 器 使 用 它 的 私 钥 签署 使 用 许可 。 

0 服务 器 将 该 使 用 许可 发 送 给 客户 端 。 

(07 密码 箱 使 用 计算 机 的 私 钥 解 密 保 存在 权限 管理 帐户 证 书 中 的 用 户 私 钥 。 
0 8 密码 箱 使 用 用 户 的 私 钥 解密 内 容 密 钥 。 

09 密码 箱 使 用 内 容 密 钥 解 密 被 加 密 的 受 保护 内 容 。 


得 使 用 服务 器 的 公 钥 所 加 密 的 内 容 只 能 由 服务 器 的 私 钥 来 解 开 。 


4，AD RMS 部 署 安全 


AD RMS 通常 用 于 保护 企业 内 部 重要 数据 的 信息 安全 ， 要 求 采 取 与 结构 中 其 他 关键 服务 
器 相同 的 物理 和 网 络 安全 措施 。 在 部 署 AD RMS 服务 过 程 中 ， 通 常 可 以 使 用 访问 控制 列表 和 
SSL 数字 加 密 技 术 等 确保 服务 器 安全 。 


(1) 使 用 ACL 限制 对 AD RMS 服务 站 点 的 访问 


管理 员 可 以 通过 使 用 访问 控制 列表 限制 客户 端 对 AD RMS 服务 站 点 的 访问 。 在 网 站 上 设 
置 RMS 时 创建 的 每 个 虚拟 目录 都 具有 可 保护 的 相应 文件 夹 结构 。 该 文件 夹 结构 在 默认 情况 下 
位 于 <system drive>:\<web_root_folder>\ wmcs 中 ， 其 中 web_root_folder 是 对 设置 了 RMS 的 
网 站 指派 的 文件 夹 名 称 。 某 些 Web 服务 受 默认 值 限制 ， 必 须 将 要 允许 使 用 服务 的 用 户 或 组 添 
加 到 访问 控制 列表 中 。 

服务 器 服务 认证 服务 提供 权限 帐户 证 书 (RAC), 例如 Web 服务 、 邮 件 服务 器 和 文件 管理 
服务 器 之 类 的 服务 可 使 用 它们 访问 受 RMS 保护 的 内 容 ， 例 如 : 文件 服务 器 ， 用 户 可 在 其 中 上 
传 不 受 保护 的 文档 ， 但 下 载 的 文档 将 自动 具有 根据 内 容 类 型 的 权限 策略 应 用 的 RMS 保护 。 


(2 ) 使 用 SSL 确保 AD RMS 服务 的 访问 安全 


建议 启用 安全 套 接 字 层 (SSL) 并 要 求 对 每 个 RMS Web 服务 文件 进行 128 位 加 密 。 这 些 
文件 具有 .asmx 文件 扩展 名 ， 位 于 Licensing、Certification 和 Admin 虚拟 目录 中 。SSL 要 求 服 
务 器 具有 为 网 站 安装 的 有 效 SSL 证 书 。 如 果 用 户 对 RMS 安装 的 _wmes 文件 夹 启用 SSL, 则 子 
文件 夹 和 文件 将 继承 该 设置 。 


(3) 设置 强 私 钥 密 码 


私 钥 密码 用 于 生成 私 钥 并 将 其 安全 存储 在 AD RMS 配置 数据 库 中 。 建议 使 用 强 密码 以 确保 最 
大 的 安全 性 。 注 意 ， 如 果 丢失 或 忘记 了 私 钥 密码 ， 且 AD RMS 服务 器 意外 脱 机 ， 则 必须 对 所 有 
AD RMS 文档 进行 解密 ， 重 建 AD RMS 环境 ， 然 后 使 用 新 的 私 钥 再 次 对 所 有 内 容 进行 加 密 。 
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